吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1911|回复: 18
收起左侧

[求助] x32dbg 反汇编代码修改请教????

[复制链接]
dingsc2016 发表于 2022-5-22 23:19
本帖最后由 dingsc2016 于 2022-5-26 23:17 编辑

请教大佬,这个反汇编的代码,想要把eax变成指定数值(原是前面的函数返回的),
在x32dbg中反汇编直接修改eax为0x11223344,会提示指令大小增加,影响后面的指令。
如何能改成立即数0x11223344,或者增加一行mov eax,0x11223344?
谢谢!

[Asm] 纯文本查看 复制代码
0049A58E | 8D5D D8        | lea ebx,dword ptr ss:[ebp-28]        | 
0049A591 | 8903                | mov dword ptr ds:[ebx],eax        | 
0049A593 | 8973 04        | mov dword ptr ds:[ebx+4],esi        | 
0049A596 | 894B 08        | mov dword ptr ds:[ebx+8],ecx        |
0049A599 | 8953 0C        | mov dword ptr ds:[ebx+C],edx        |
0049A59C | 8B45 DC        | mov eax,dword ptr ss:[ebp-24]        |


综合一下各位热心兄弟的方法:
1、算好字节数将必要部分一起移到空白处,jmp 过去,完了再jmp回原下一条指令处。可行!
2、据说HOOK 方法最好,这个是否会被安全软件杀掉?该方法还不知道怎么使用


另外想请教一下:
有个软件以Windows服务形式运行,运行后x32dbg附加载入后找不到关键的中断点,有什么思路吗?
猜测可能和CPU或硬盘ID有关,这几个相关的API都试过没有给中断下来。可能是多线程原因,等附加的时候已执行过去了。
通常C++写的类的成员变量,如何能够在内存中找到?然后用内存访问中断?


免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
为之奈何? + 1 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

涛之雨 发表于 2022-5-23 00:41
可以曲线救国:
随便找个空白位置(00或者cc之类的非指令和代码区都可以)
把前面需要修改位置之前改成jmp直接跳转过来,
在这个空白区先还原修改后的代码(如果需要)
再执行需要修改的内容,
再jmp回去(到下一行)
gunxsword 发表于 2022-5-23 09:12
你可以用前面人说的JMP的方式修改,如果你不想那样,你都说了,他是前面的函数返回,那也就是CALL,CALL的字节是,5个,再加上可能还有一些参数代码之类的,长度是足够的,直接在那个地方改成MOV EAX,0X11223344这样的不就行了,但是干掉这个CALL,要把传参,堆栈平衡相关的代码一起干掉,你不修改CALL内部,只是改这里,对别的地方不会有什么影响,具体的你还是要看代码,只是按你的描述,是可以这样改的
codeshif 发表于 2022-5-23 00:43
taxuewuhen 发表于 2022-5-23 00:48
有没有壳 有的话打补丁
谁的坏叔叔 发表于 2022-5-23 01:18
申请一个内存  
jmp 到申请的内存
mov eax,xxxxx
jmp 跳会原地址下个执行地址
沧恋 发表于 2022-5-23 01:44
你要改的指令太长了,已经占用下一段指令了。建议HOOK修改。
无闻无问 发表于 2022-5-23 06:00
你都说了是前面函数的返回,为啥不直接改函数呢?而且万一有其它地方再调函数,也有作用…
sangco 发表于 2022-5-23 07:39
大于当前字节数, 是插入不了的. 得HOOK. 挂载新内存.
六人行 发表于 2022-5-23 07:40
进前面的函数,如何此子程序无其他特殊功能,直接给eax赋值,然后返回。
byh3025 发表于 2022-5-23 08:26
这种情况一般都是按照涛之雨的方法在空白的地方补码
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-24 07:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表