如何從國外AA，找出address、EIP (很簡單啦)

原文章由 IcantLove 於 2007-8-23 15:51 發表


數據要修改的部分是不是直接對程式的記憶體作修改的地方呀

嗯...
應該不是=口="
直接對程式記憶體修改的地方要刪掉=w="
你可以大概有個這樣子的概念
我們是要讓程式執行到某個位址時，跳去執行我們寫 ...

嗯....
所以說
0042C987:
jmp speedattack
db 90
returnhere:
全部刪掉，以eip輸入取代...
jmp returnhere
改成jmp 原始程式的下一個位址
是這樣嗎@@?


剛剛比對了一下台版的快速攻擊
差好多阿(囧)
應該是兩種完全不同的東西吧...
這是連結

沒想到 I.L 大大跑來這裡說明 yociexp170.gif

先謝謝您了!
不過有點不懂
可否把附上改好後的樣子做比對?yociexp182.gif

原文章由 030256890 於 2007-8-23 16:02 發表

嗯....
所以說
0042C987:
jmp speedattack
db 90
returnhere:
全部刪掉，以eip輸入取代...
jmp returnhere
改成jmp 原始程式的下一個位址
是這樣嗎@@?
剛剛比對了一下台版的快速攻擊
差好 ...

嗯 ！
沒錯^^
概念蠻好的呀^^
returnhere 要改成原程式的下一個位址
也就是 0042C987 的下一個位址
這樣子修改數據好像就差不多了吼XD""



其實都是用 快速攻擊 這個代碼吧=w=
只是寫的型式不一樣
造成的影響，應該都是 N次快攻 後 1次普攻 再N次快攻 .....
(應該啦！沒仔細研究=   "   =)

原文章由 win745dog 於 2007-8-23 16:04 發表
沒想到 I.L 大大跑來這裡說明 yociexp170.gif

哈~
反正np改了，閒閒沒事做=w=+
而且CEF很久沒有新血注入了=   "   =
就來發帖啦XD"

真感動，又多了一個Level 7~8的人才 yociexp177.gif，總不能教學都由版主來發吧！

原文章由 IcantLove 於 2007-8-23 16:34 發表


嗯 ！
沒錯^^
概念蠻好的呀^^
returnhere 要改成原程式的下一個位址
也就是 0042C987 的下一個位址
這樣子修改數據好像就差不多了吼XD""

@@"
剛剛試著自己改改看
結果如下

1. [ENABLE]
   
2. //Address 435dec  ←好奇怪，我用AOB把EMS的位址轉成TMS變成這個，另一篇快速攻擊的卻是435DD9~"~
   
3. //EIP speedattack
   
4. alloc(speedattack,300)
   
5. label(normal)
   
6. registersymbol(speedattack)
   
7. 
   
8. speedattack:
   
9. pushad
   
10. mov eax,[7FA070]  //←─這兩行不知道做什麼的，推測可能是攻擊次數吧@@...所以改改看
    
11. mov edx,[eax+1200]  //←┘
    
12. mov ecx,04
    
13. mov eax,edx
    
14. shr edx,0f
    
15. idiv ecx
    
16. dec ecx
    
17. cmp edx,ecx
    
18. popad
    
19. jne normal
    
20. 
    
21. speed:
    
22. jmp 00435E60
    
23. 
    
24. normal:
    
25. add eax,0a
    
26. mov [ebp+0c],eax
    
27. jmp 00435DF2
    
28. 
    
29. [disable]
    
30. dealloc(speedattack)
    
31. unregistersymbol(speedattack)

複製代碼

可以幫我看一下有哪邊有問題嗎@@?
*******************************************************************
話說我記得在浪漫那邊有大大發找JMP的文章
剛剛看了一下435dec附近的機械碼
add eax,0a
mov [ebp+0c],eax
這兩行normal 都跑過了...所以JMP我就改成mov [ebp+0c],eax 的下一行00435DF2
不知道有沒有問題@@...
*******************************************************************
剛剛才發現I.L.大有在第一篇發出修改後的樣子了=口="
跟我轉出來的差不多耶^^"
開心中

[ 本文章最後由 030256890 於 2007-8-24 17:05 編輯 ]

原文章由 soso741011 於 2007-8-23 17:04 發表
真感動，又多了一個Level 7~8的人才 yociexp177.gif，總不能教學都由版主來發吧！

話說I.L.大有在投票區投票呀@@...
也正好是Level 7 ~ 8

原文章由 030256890 於 2007-8-23 18:11 發表

話說I.L.大有在投票區投票呀@@...
也正好是Level 7 ~ 8

我知道！但不知其他14個 Level 7以上的人，都在潛水？ 還是本身就沒有參予感yociexp171.gif

原文章由 030256890 於 2007-8-23 17:49 發表


@@"
剛剛試著自己改改看
結果如下[ENABLE]
//Address 435dec  ←好奇怪，我用AOB把EMS的位址轉成TMS變成這個，另一篇快速攻擊的卻是435DD9~"~
//EIP speedattack
alloc(speedattack,300)
label(nor ...

嗯嗯@w@
你做的都對呀^^
add eax,0a
mov [ebp+0c],eax
這兩行都 run 過了
當然就不用 run 了呀^^
所以自然而然就是往下推~
所以你做的是沒錯的！！
繼續加油唷^^
轉數據就快會了吧XD"

至於 435dec ，我轉出來也是這個位址
所以應該是沒錯的！

ps：不過老實說，此數據有些地方我還看不太懂= " = ， 未轉前 normal 在原數據裡，根本沒有 jmp 過去說=  ="  擺著好看!?

原文章由 IcantLove 於 2007-8-23 19:07 發表


嗯嗯@w@
你做的都對呀^^
add eax,0a
mov [ebp+0c],eax
這兩行都 run 過了
當然就不用 run 了呀^^
所以自然而然就是往下推~
所以你做的是沒錯的！！
繼續加油唷^^
轉數據就快會了吧XD"

至於 43 ...

I.L 大 ...

我也要CEM檔(伸手牌 = =)
我也來轉看看！
不過，

cmp edx,ecx
popad
jne normal

normal:
add eax,0a
mov [ebp+0c],eax

紅字地方，
當 edx 與 ecx 不相同的時候，
才跳躍到 normal ，
若相等的話，
則不跳躍往下執行，
也就是說，
當相等的話...會執行 add eax,0a ，
不相等也是執行 add eax,0a ，
所以小弟我才覺得奇怪！

這只是小弟我的想法啦！
說不定數據就如你們所改的一樣！yociexp179.gif