| Сейчас на форуме: ==DJ==[ZLO], Magister Yoda (+6 невидимых) |
 |
eXeL@B —› Основной форум —› Помогите beginner'у насчет пропатчивания! |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 14 февраля 2005 20:39 · Личное сообщение · #1 Помогите пжалста! Я знаю что многие из вас просто обругают меня за глупые вопросы и скажут поискать ещё на форуме или в FAQ (где я ничего не нашёл) а то и просто закроют тему. Я буду очень рад если это не так. Я не могу понять как мне вписывать в начале процедуры xor eax,eax inc eax ret . Сам смысл понятен, но где это "в начале процедуры"?? И как это начало искать? Я читал это в статьях Fess'а но там толком не написано (ну может просто это я такой тупой - обьясните пожалуйста!). Заранее спасибо!!!  |
|
|
Создано: 18 февраля 2005 01:46 · Личное сообщение · #2 Ara пишет: А если ты не знаешь, откуда переписывать байты начала своей процедуры, то ты действительно ваще убитый глупый и тупой loool, ну и выражение 
|
|
|
Создано: 18 февраля 2005 01:50 · Личное сообщение · #3
|
|
|
Создано: 18 февраля 2005 01:53 · Личное сообщение · #4 arnix Это не выражение, а цитата... Serge ЛОЛ. Кажется, я тебя понял... Ты не нашел эту самую процедуру, куда надо вписать эти злосчастные xor eax,eax inc eax ret ???? А с чего ты решил, что именно ЭТИ байты туда надо вписывать-то? Может там банальное сравнение двух строк и нет никакой процедуры, а? |
|
|
Создано: 18 февраля 2005 01:56 · Личное сообщение · #5 Ara пишет: Это не выражение, а цитата... Как скажешь ;) мне эта _цитата_ понравилась просто
|
|
|
Создано: 18 февраля 2005 01:58 · Личное сообщение · #6 Ну всмысле это слова Serge были - я их процитировал =)) |
|
|
Создано: 18 февраля 2005 02:00 · Личное сообщение · #7 Просто когда я в айсе прогу трейсил то я обнаружил что это всё-таки вызов процедуры (call ********) и test'ом определяется result. Так как дальше то поступать? *** Если я знаю адрес процедуры в памяти |
|
|
Создано: 18 февраля 2005 02:01 · Личное сообщение · #8 "ваще убитый глупый и тупой" Copyright 2005 Inc LOL |
|
|
Создано: 18 февраля 2005 02:07 · Личное сообщение · #9 Можешь здесь листинг постить? И что значит "всё-таки вызов процедуры"? Ты не уверен это call или не call? И еще, какое значение имеет это поцедура или не процедура? Я не могу понять как мне вписывать в начале процедуры xor eax,eax inc eax ret . Сам смысл понятен, но где это "в начале процедуры"?? И как это начало искать? Если у тебя есть "call 41234567" то начало этой процедуры и есть адрес 41234567... Или я не правильно понял твой вопрос? |
|
|
Создано: 18 февраля 2005 02:08 · Личное сообщение · #10 Serge Трейсишь до своего Call..... и заходишь в него (Ф8). Это и будет начало твоей процедуры. Дальше перепиши несколько байт на бумажку и делай как было сказано ранее. Можешь попробывать вычесть 00400000, может и попадешь. Можно посмотреть в дизассемблере offset. ЗЫ: а лучше возьми OllyDbg и не мучайся. |
|
|
Создано: 18 февраля 2005 02:14 · Личное сообщение · #11 2arnix: Да уж пожалуй неправильно=))) Ты видимо не прочитал террабайты спора на прошлой странице. Я ищу адрес начала процедуры чтобы править потом его в qview. И что будет если ты введёшь GoTo - F5 41234567 ;)) |
|
|
Создано: 18 февраля 2005 02:16 · Личное сообщение · #12 Serge Да уж. Вводи первые байты процедуры в поиск (цепочку из десяти первых байт) |
|
|
Создано: 18 февраля 2005 02:19 · Личное сообщение · #13 2Ara: То что надо! WinDASM' я не юзал потому что само тело процедуры вижу, а начало - ...млять, вам не задолбалось отвечать на слишком частые и слишком тупые вопросы "ваще убитого глупого и тупого дибила"? Так получается -400000, как я и думал!? |
|
|
Создано: 18 февраля 2005 02:21 · Личное сообщение · #14 или вычесть байты!? |
|
|
Создано: 18 февраля 2005 02:22 · Личное сообщение · #15 Толково и понятно! |
|
|
Создано: 18 февраля 2005 02:22 · Личное сообщение · #16 respect respect respect respect respect respect respect respect respect respect respect respect respect respect respect respect |
|
|
Создано: 18 февраля 2005 02:24 · Личное сообщение · #17 Serge пишет: само тело процедуры вижу, а начало А начало было тут - call XXXXXXXX <---- эти ХХХХХХХХ - адрес начала твоей процедуры. |
|
|
Создано: 18 февраля 2005 02:26 · Личное сообщение · #18 Serge пишет: Да уж пожалуй неправильно=))) Ты видимо не прочитал террабайты спора на прошлой странице. Я ищу адрес начала процедуры чтобы править потом его в qview. И что будет если ты введёшь GoTo - F5 41234567 ;)) Не знаю как в qview, но в Hiew если жмёшь F5 (GoTo) и если перед адресом поставить точку (пример: .41234567) то она автоматом конвертирует виртуальный адрес в RAW адрес и "доставит" тебя в правильное место. |
|
|
Создано: 18 февраля 2005 02:26 · Личное сообщение · #19 а эти XXXXXXXX в айсе посмотреть и вычесть 400000, так ведь? |
|
|
Создано: 18 февраля 2005 02:27 · Личное сообщение · #20 а с точкой не помогло? |
|
|
Создано: 18 февраля 2005 02:28 · Личное сообщение · #21 2 arnix: Незнаю не знаю... у меня ничего не доставляет =((( |
|
|
Создано: 18 февраля 2005 02:28 · Личное сообщение · #22 всмысле с точкой? |
|
|
Создано: 18 февраля 2005 02:31 · Личное сообщение · #23 |
|
|
Создано: 18 февраля 2005 02:32 · Личное сообщение · #24 Serge пишет: всмысле с точкой? читай еще раз сообщение Дата: Фев 18, 2005 02:26:51 Serge пишет: 2 arnix: Незнаю не знаю... у меня ничего не доставляет =((( А почему не использовать Hiew? Он намного лучше. |
|
|
Создано: 18 февраля 2005 02:35 · Личное сообщение · #25 HIEW? Чем же лучше ??????? А с точкой-то не пробовал, надо бы. |
|
|
Создано: 21 февраля 2005 20:31 · Личное сообщение · #26 Hiew то нисколько ни лучше |
| << . 1 . 2 . |
|
eXeL@B —› Основной форум —› Помогите beginner'у насчет пропатчивания! |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати