我已经找到去广告的入口处了,w32显示如下:
我已经找到去广告的入口处了,w32显示如下:请问怎样将PHSH EAX 改成 RET??? 用任意一款16进制编辑器,或者直接用OD改! 飘云方法细化说明:
用16进制编辑器(比如ULTRAEDIT)就是找到这段代码,用十六进制搜索即可,然后把53改成RET的代码(C3),或者在OD中在4CB9C8上处按空格,改写汇编指令为RET,然后复制修改到文件,然后保存文件。 我就是不知道用UE如何查找到这段代码?还请告诉。下次我就会了。是直接查找那个内存地址吗?004CB9C8?OLD我会了,UE怎么弄
[ 本帖最后由 xiaoxue999 于 2006-6-22 16:56 编辑 ] 原帖由 xiaoxue999 于 2006-6-22 16:46 发表
我就是不知道用UE如何查找到这段代码?还请告诉。下次我就会了。是直接查找那个内存地址吗?004CB9C8?OLD我会了,UE怎么弄
搜索十六进制"538BD8",然后修改. 原帖由 hczcyy 于 2006-6-22 17:40 发表
搜索十六进制"538BD8",然后修改.
就是这个意思。。。。。。。 呵呵...jump到这段代码最后也行. 原帖由 hczcyy 于 2006-6-22 17:40 发表
搜索十六进制"538BD8",然后修改.
还是用OD吧,将此处改成RET之后,还是没有跳过执行,还是会有广告,怎么搞的,高人帮忙
[ 本帖最后由 xiaoxue999 于 2006-6-23 10:52 编辑 ] jmp 004CBA14试试~~ 不行啊,老大,没法子了,还是放出已脱壳程序,大家一起帮忙吧
页:
[1]