UC知道修改特征码遇到的问题
来源:百度知道 编辑:UC知道 时间:2024/06/25 04:04:49
已经用MYCCL精确定位出特征码区段,
C32am看不是字母,
OC转换,用OD打开,查找
刚跳转时,出现了很多不认识的命令,还有什么非法使用寄存器
等一会就变回了熟悉的代码,再修改
这是为什么呢?
这样修改特征码总是不能上线(跳转法),这样的情况怎么解决?
C32am看不是字母,
OC转换,用OD打开,查找
刚跳转时,出现了很多不认识的命令,还有什么非法使用寄存器
等一会就变回了熟悉的代码,再修改
这是为什么呢?
这样修改特征码总是不能上线(跳转法),这样的情况怎么解决?
当你在od里按 ctrl+G健 找到内存偏移的时候
od会自动该字节的代码
而该字节有可能和别的字节里的代码是一句的
当你动了鼠标的时候 od就会跳成正常代码 而不是非要显示某一个字节的代码
我知道有点绕口!!!!!!!!!!!!!!!!!
你看看跳过后的代码的内存偏移地址
它肯定是包含了你所制定的偏移地址
比如 你要搜索 00401234这个内存地址
当你用ctrl+G健打开这个地址的时候他可能是这样的
00401232 E0
00401233 65
00401234 56这句为选中句
00401235 75
00401236 99
而当你动鼠标后 他可能就是
00401232 E0
00401233 65 56 75 这句就是特征码句 00401234的指令被包含在这句里了,这样说不标准,你姑且这样理解 地址后面的这些东西 如就一个E0 代表这句仅仅占用一个字节 现在00401233这个 有三个字节的指令,一直到00401235后面是紧跟1236
00401236 99
懂了吗
还有 跳转法不是万能的
能不用最好别用这个方法 N把年前的办法 不实用了