冰楓論壇

標題: 再次請教各位大神幫忙 [打印本頁]

作者: xzxz0101011 時間: 2018-11-12 13:23
標題: 再次請教各位大神幫忙
本帖最後由 xzxz0101011 於 2018-11-12 13:29 編輯

//TwMS v211.2 ICS 人物定位SS
[Enable]
alloc(People,64)
label(BobyHook)

People:
Cmp [Esp+18],0096ccc4 //89 87 ?? ?? ?? ?? 8b c8 35 0d f0 ad ba 33 ce c1 c9 05 c1 c8 05 03 c1 89 8f ?? ?? ?? ?? 89 87 ?? ?? ?? ?? 8b cf
jne 0163b260 //33 c0 64 8b ?? ?? ?? ?? ??
mov [esp+18],BobyHook
jmp 0163b260 //33 c0 64 8b ?? ?? ?? ?? ??

BobyHook:
mov [edi+00000474],eax
mov ecx,eax
xor eax,BAADF00D
xor ecx,esi
ror ecx,05
ror eax,05
add eax,ecx
mov [edi+00000478],ecx
mov [edi+0000047c],eax
mov ecx,edi
mov eax,[edi]
push ebx
call dword ptr [eax+2C]
pop esi
test eax,eax
jmp 0096ccfd

03702fc8: 這裡更新出來怪怪的210.1版是036BCCDC但是在211.2版搜不到這邊還請提示一下
DD People

[disable]
03702fc8: 這裡更新出來怪怪的
DD 0163b260
DeAlloc(BobyHook)

比照210.1版的來更新由於版上沒有人更新211.2沒辦法判定對還錯還請各位大大幫忙

作者: 乂Boyue乂 時間: 2018-11-12 13:41
兩種方法
1. 上面的Call 跟進去你就會看到 call dword ptr 了

2. 用 4Byte(16進位) 搜尋 0163b260

作者: btb 時間: 2018-11-12 14:01

乂Boyue乂發表於 2018-11-12 13:41
兩種方法
1. 上面的Call 跟進去你就會看到 call dword ptr 了

第二種方法比較不推薦，理由是不一定能跟call dword ptr一樣

作者: xzxz0101011 時間: 2018-11-12 14:15

乂Boyue乂發表於 2018-11-12 13:41
兩種方法
1. 上面的Call 跟進去你就會看到 call dword ptr 了

感謝副站長有進展了只是我的CE不知道為什麼不能按F7跟進去

作者: xzxz0101011 時間: 2018-11-12 14:21

btb 發表於 2018-11-12 14:01
第二種方法比較不推薦，理由是不一定能跟call dword ptr一樣

正在嘗試遞一種方式有向上尋找CALL但是沒辦法跟進去不知道我CE出了什麼問題

作者: btb 時間: 2018-11-12 14:21
我有發最新版本去比對一下對不對即可

作者: xzxz0101011 時間: 2018-11-12 14:52

btb 發表於 2018-11-12 14:21
我有發最新版本去比對一下對不對即可

感謝大大已更新完成謝謝

歡迎光臨冰楓論壇 (https://bingfong.com/)