xor ecx, ecx
:00425153 3BC1 cmp eax, ecx ?
成功
:00425155 7431 je 00425188 结构首址
:00425151 33C9 xor ecx, ecx
:00425153 3BC1 cmp eax, ecx ?
成功
:00425155 7431 je 00425188 ?
:00425157 E9E4C40A00 jmp 004D1640 ?
IP地址和端口的程序中
:0042515C 90 nop ?
手工更改方法:
查找16进制代码:39 88 DC 01 00 00 75 08
更改为: E9 E4 C4 0A 00 90
文件偏移为25157h
显示IP地址和串口的附加程序
:004D1680 803D00174D003A cmp byte ptr [004D1700], 3A ?
字符内存区第一个字符是不是冒号,是就说明没有IP地址
:004D1687 7509 jne 004D1692 ?
:004D1689 66C70500174D003000 mov word ptr [004D1700], 0030 ?
字符内存区写上一个"0"
:004D1692 6800174D00 push 004D1700 ?
:004D1697 FFB660010000 push dword ptr [esi+00000160] 告窗口的窗口句柄
:004D169D A1E8714A00 mov eax, dword ptr [004A71E8] ?
他地方调用SetWindowTextA的地址
:004D16A2 FF10 call dword ptr [eax] ?
重定位好了的SetWindowTextA的地址
:004D16A4 E9D415F6FF jmp 00432C7D ?
之后
:004D16A9 90 nop ?
对齐好看
:004D16AA 90 nop
:004D16AB 90 nop
:004D16AC 90 nop
:004D16AD 90 nop
:004D16AE 90 nop
:004D16AF 90 nop
wsprintf所用到的模式字符串:
:004D1720 25733A2564 "%s:%d"
手工更改方法:
在文件偏移D1680处添加16进制代码:
80 3D 00 17 4D 00 3A 75-09 66 C7 05 00 17 4D 00
30 00 68 00 17 4D 00 FF-B6 60 01 00 00 A1 E8 71
4A 00 FF 10 E9 D4 15 F6- FF 90 90 90 90 90 90 90
在文件偏移D1720处添加16进制代码:
25 73 3A 25 64
保存IP地址和端口的附加程序
:004D1640 8BDC mov ebx, esp ?
针
:004D1642 BC00194D00 mov esp, 004D1900 ?
针到无用的内存区域
:004D1647 50 push eax ?
寄存器
:004D1648 51 push ecx
:004D1649 52 push edx
:004D164A 56 push esi
:004D164B FFB018020000 push dword ptr [eax+00000218] ?
象端口的地址
:004D1651 FFB014020000 push dword ptr [eax+00000214] P
地址的字符串指针
:004D1657 6820174D00 push 004D1720 ?
是printf的模式字符
:004D165C 6800174D00 push 004D1700 ?
:004D1661 8B3532CE4900 mov esi, dword ptr [0049CE32] 他地方调用wsprintfA的地址
:004D1667 FF16 call dword ptr [esi] ?
重定位好了的wsprintfA的地址
:004D1669 83C410 add esp, 00000010 ?
:004D166C 5E pop esi ?
:004D166D 5A pop edx
:004D166E 59 pop ecx
:004D166F 58 pop eax
:004D1670 3988DC010000 cmp dword ptr [eax+000001DC], ecx ?
原程序00425157处被改掉的有用代码
:004D1676 8BE3 mov esp, ebx ?
针
:004D1678 E9E03AF5FF jmp 0042515D ?
:004D167D 90 nop
:004D167E 90 nop
:004D167F 90 nop
手工更改方法:
在文件偏移D1640处添加16进制代码:
8B DC BC 00 19 4D 00 50-51 52 56 FF B0 18 02 00
00 FF B0 14 02 00 00 68-20 17 4D 00 68 00 17 4D
他地方调用wsprintfA的地址
:004D1667 FF16 call dword ptr [esi] ?
重定位好了的wsprintfA的地址
:004D1669 83C410 add esp, 00000010 ?
:004D166C 5E pop esi ?
:004D166D 5A pop edx
:004D166E 59 pop ecx
:004D166F 58 pop eax
:004D1670 3988DC010000 cmp dword ptr [eax+000001DC], ecx ?
原程序00425157处被改掉的有用代码
:004D1676 8BE3 mov esp, ebx ?
针
:004D1678 E9E03AF5FF jmp 0042515D ?
:004D167D 90 nop
:004D167E 90 nop
:004D167F 90 nop
手工更改方法:
在文件偏移D1640处添加16进制代码:
8B DC BC 00 19 4D 00 50-51 52 56 FF B0 18 02 00
00 FF B0 14 02 00 00 68-20 17 4D 00 68 00 17 4D
消息发送对话框中广告窗口样式的更改
更改以前的窗口样式(style)是50000012h,
WS_CHILDWINDOW|WS_VISIBLE|SS_LEFT|SS_ETCHEDFRAME
更改以后的窗口样式(style)是50000201h,
WS_CHILDWINDOW|WS_VISIBLE|SS_LEFT|SS_CENTER|SS_CENTERIMAGE
手工更改方法:
在文件偏移141EFCh处把
12 00 00 50
改为 02 01 00 50
代码段段属性修改
更改以前的代码段属性为60000020,CER(包含代码,可执行,可读)
更改以后的代码段属性为C0000020,CRW(包含代码,可读写和执行)
手工更改方法:
在文件偏移21Ch处把
20 00 00 60
改为 20 00 00 C0
上一页 [1] [2] |
