外壳符合长
文件路径的时候,要轻视进口重构的路径和PID
位置。今天我们有一个缺陷,经营进口组成,由RegKiller。
只使用OD
工具解决以下进制或
修改代码的第一步,主要
显示格式,我们把原来的格式的ID +反向路径:
地址:00462598:2573202825303858:2825303858292025原29 73修订第二关键岗位的第一步,第二不改变正常的没有
发现问题是什么,但感觉可能已经过去了,所以在一起摆脱,如果发现有问题你自己回来,这是修改的第一变化的主要交付订单后的
参数变化的ID +路径一:原文:0041c034 51推ecx0041c035 52推EDX十六进制代码:5152:0041c034 52推推51改性edx0041c035 ECX十六进制码:5251秒:原来{ /颜色}:0041c13d。ecx0041c13e。推51推52 EDX十六进制代码:5152 { 52 } /颜色:推0041c13d改性edx0041c13e 51推ECX十六进制代码:5251以上第三个
步骤的改进已经可以显示,但当打开过程中会出错,约代码的简单分析,该
程序是通过PID +路径获得的原始路径和PID的方式
处理,会导致开放的过程,这里有一种微妙的方式,在不
影响正常显示的
情况下,我们有我们的PID +路径字符串处理程序才回到PID路径然后放手继续处理程序打开的过程,代码如下。下面代码的主要
功能是将字符串
转换为所需格式。如果朋友需要用简单的理解来理解它,它就不会发表评论。这是很简单的。顺便说一下,这个代码我放在数据段,是这段好
属性是可读,可写,可
执行的,所以数据处理也在处理这段时期,但原来的程序不被使用的
空间,所以我把这部分的rsize到0x2000如果您修改的版本,可以处理自己的问题。下面的代码可以使用OD nonawrite 1.2插头直接进入程序:0041c59c - E9 5ffc0500 JMP 0047c2000x0047c200:LEA EDI DWORD PTR,SS:{ ESP + 26c } pushadpushfdmov EDX,edipush 0call DWORD PTR DS:{ }添加44d234 EAX,7ce00mov ESI,edimov EDI,EAXxor ebx,ebxmov clsub BL,BL,0badd ESI,0bmovs字节,PTR:{ EDI },BYTE PTR DS:{ - } DEC bltest BL,bljnz短0047c227mov BYTE PTR DS:{ EDI },20inc edimov BL,0amov ESI、EDI edxmovs BYTE PTR:{ },BYTE PTR DS:{ - } DEC bltest BL,BL bljnz 0047c23bmov,clmov ESI、EDI eaxmov,edxmovs字节,PTR:{ EDI },BYTE PTR DS:{ } DEC bltest ESI BL,bljnz 0047c24cpopfdpopadjmp 0041c5a3