stook 发表于 2009-7-10 22:59:16

Ollydbg遇到ShellExecuteA该怎么跳走?

请问下 要NOP那一句 不执行res\tools\runpopup.exe呀   是 007E8975 吗 ?才可以让
007E8945   .8B15 4C7A8100 MOV EDX,DWORD PTR DS:            ;FishDesk.00819CE8
007E894B   .8B12          MOV EDX,DWORD PTR DS:
007E894D   .8D45 AC       LEA EAX,DWORD PTR SS:
007E8950   .B9 D48B7E00   MOV ECX,FishDesk.007E8BD4                ;res\tools\runpopup.exe
007E8955   .E8 6ECEC1FF   CALL FishDesk.004057C8
007E895A   .8B45 AC       MOV EAX,DWORD PTR SS:
007E895D   .E8 1AD0C1FF   CALL FishDesk.0040597C
007E8962   .50            PUSH EAX
007E8963   .68 FC8B7E00   PUSH FishDesk.007E8BFC                   ;open
007E8968   .A1 88838100   MOV EAX,DWORD PTR DS:
007E896D   .8B00          MOV EAX,DWORD PTR DS:
007E896F   .E8 E018CDFF   CALL FishDesk.004BA254
007E8974   .50            PUSH EAX                                 ; |hWnd
007E8975   .E8 36FCC5FF   CALL <JMP.&shell32.ShellExecuteA>      ; \ShellExecuteA
007E897A   .A1 88838100   MOV EAX,DWORD PTR DS:
007E897F   .8B00          MOV EAX,DWORD PTR DS:
007E8981   .8B80 84040000 MOV EAX,DWORD PTR DS:
007E8987   .B2 01         MOV DL,1我直接把的007E8BD4字符串改了.直接用 20填充.. 呵呵!
感谢 rxzcums ujtyug

[ 本帖最后由 stook 于 2009-7-15 19:11 编辑 ]

ujtyug 发表于 2009-7-11 22:41:43

尝试把7E8974到7E8978处的代码都改成十六进制58(也就是POP EAX,如果POP EAX反汇编了不是58,以POP EAX为准),7E8979处改成十六进制90(也就是NOP)。
本来应该可以只加个跳转的,不过这个程序反汇编的代码没那么直观。。压栈不够连续。

[ 本帖最后由 ujtyug 于 2009-7-11 22:43 编辑 ]

rxzcums 发表于 2009-7-11 23:19:41

从007E8962到007E8975全部nop

你这个不是弹网页,是要启动某个exe,所以你为什么要跳走?

[ 本帖最后由 rxzcums 于 2009-7-11 23:20 编辑 ]

stook 发表于 2009-7-15 19:08:34

原帖由 rxzcums 于 2009-7-11 23:19 发表 https://www.chinapyg.com/images/common/back.gif
从007E8962到007E8975全部nop

你这个不是弹网页,是要启动某个exe,所以你为什么要跳走?

他启动的EXE 就是弹广告的.所以我想跳走.

[ 本帖最后由 stook 于 2009-7-15 19:12 编辑 ]

阿拉神灯 发表于 2009-7-16 15:14:59

学习了学习了,虽然看不懂,慢慢积累

老万 发表于 2009-7-17 06:36:37

学习了,谢谢。

eopenfang 发表于 2009-7-23 23:23:25

把那个 call去掉就成了。
页: [1]
查看完整版本: Ollydbg遇到ShellExecuteA该怎么跳走?