ICS數據2一般的CRC數據

作者: knowlet -
之前問了幾個人赫然發現有的人竟然沒辦法從ICS數據中推出原本的位置

所以來個逆向思考的小文章...



以最簡單的無敵(物理)ICS數據來說吧

  1. //TwMS v1.46_ICS_物理無敵
  2. [Enable ]
  3. Alloc(AwesomeMan,64)
  4. Label(Invincible)

  6. 00D3D794: 
  7. DD AwesomeMan

  9. AwesomeMan:
  10. Cmp [esp],005EA13F
  11. Jne IsRectEmpty
  12. Mov [esp],Invincible
  13. Jmp IsRectEmpty

  15. Invincible:
  16. test eax,eax
  17. Jmp 005EA143

  19. [Disable]
  20. 00d3d794:
  21. DD IsRectEmpty
  22. Dealloc(AwesomeMan)

有看過這篇超簡易數據閱讀註釋的人應該基本上看得懂吧:)

所以我們知道

要修改的點應該是在他的Call底下,也就是005EA13F往下看
  1. 005EA13F - 85 c0                      - test eax,eax
  2. 005EA141 - 74 0e                      - je 005ea151
所以我們就可以知道其實真正有變動的部分是005EA141 
我們在ICS當中用Jmp把地個Je點跳過去了
所以我們就可以還原其CRC數據拉~

  1. [Enable]
  2. 005EA141:
  3. DD 90 90
  4. [Disable]
  5. 005EA141:
  6. je 005ea151
KNowlet 手打發佈於 knowlet3389.blogspot.com

留言

  1. 匿名2012年5月31日 晚上8:45

    說不定有人看不懂DB 90 90(NOP)什麼意思喔 xD

    回覆刪除
    回覆
    1. 匿名2012年6月1日 晚上9:52

      像是我就看不懂

      刪除
    2. 匿名2012年6月2日 清晨6:07

      +1

      刪除
    3. 匿名2012年6月2日 上午10:56

      簡單來說... 就是不執行那個Address(005EA141)的原本指令(je 005ea151)

      刪除
  2. 查無此人2012年6月9日 晚上9:21

    作者已經移除這則留言。

    回覆刪除

張貼留言

本月最夯

偷用電腦,怎知?事件檢視器全記錄!(開機時間、啟動項時間...)

作者: knowlet -
圖片
想知道你的電腦在你不使用的時候是否被開機過嗎?小朋友是不是趁家長不在家的時候偷偷完電腦啊?常常懷疑家裡或公司的電腦被人偷偷開來亂弄東西,可以用下面的方法檢查一下電腦在什麼時候有被開機、登入使用過。 Windows 系統裡的「事件檢視器」會紀錄很多電腦的相關資訊,包含什麼時候開機、登入、登出,或者系統發生哪些錯誤或其他的特殊事件等等,通通會紀錄在「事件檢視器」的日誌中。如果你只是想知道電腦什麼時候開機過的話,可以很輕易的從「事件檢視器」裡查到電腦確實的開機、關機時間。
閱讀完整內容