3. Patching und die genaue Speicheraddresse

Patching und die genaue Speicheraddresse

  • L

    Hi,

    ich habe den Artikel über das Patching gelesen, aber irgendwie klappt das bei mir nicht so...

    das ist das, was olly mir liefert..

    00499773   . 68 5022A300    PUSH unpacked.00A32250                   ;  ASCII "SaveInfo : Write   [[[  MONEY  ]]]  Fail
"
00499778   . 8D8C24 9800000>LEA ECX,DWORD PTR SS:[ESP+98]
0049977F   . E8 2C93F7FF    CALL unpacked.00412AB0
00499784   . 8D8C24 9400000>LEA ECX,DWORD PTR SS:[ESP+94]
0049978B   . 51             PUSH ECX
0049978C   . E8 BF103800    CALL unpacked.0081A850
00499791   . 8B0D FC26C100  MOV ECX,DWORD PTR DS:[C126FC]
00499797   . 8B11           MOV EDX,DWORD PTR DS:[ECX]
00499799   . 83C4 04        ADD ESP,4
0049979C   . 56             PUSH ESI
0049979D   . FF52 10        CALL DWORD PTR DS:[EDX+10]
004997A0   . 5F             POP EDI
004997A1   . 66:33C0        XOR AX,AX
004997A4   . 5E             POP ESI
004997A5   . 81C4 8C010000  ADD ESP,18C
004997AB   . C2 0800        RETN 8
004997AE   > 8B4F 10        MOV ECX,DWORD PTR DS:[EDI+10]
004997B1   . E8 AAFDFFFF    CALL unpacked.00499560
004997B6   . 8D4C24 58      LEA ECX,DWORD PTR SS:[ESP+58]
004997BA   . 51             PUSH ECX
004997BB   . 894424 5C      MOV DWORD PTR SS:[ESP+5C],EAX
004997BF   . 8B06           MOV EAX,DWORD PTR DS:[ESI]
004997C1   . 6A 04          PUSH 4
004997C3   . 8BCE           MOV ECX,ESI
004997C5   . FF50 08        CALL DWORD PTR DS:[EAX+8]
004997C8   . 83F8 04        CMP EAX,4
004997CB   . 74 26          JE SHORT unpacked.004997F3

    nun hatte ich vor,

    004997CB   . 74 26          JE SHORT unpacked.004997F3

    das zu patchen, bzw genauer zu noppen... also die 74 und 26

    nun brauche ich ja die relative Adresse, aber wenn ich PEiD benutze, dann liefert es mir auch keinen anderen Offset, sondern sagt:
    74 ist an der Adresse 0x004997CB und
    26 ist an der Adresse 0x004997CC

    Warum braucht man den Offset und kann nicht mit der Adresse arbeiten?

    Meine Frage ist, ob das die richtigen Adressen sind, die ich da rausgesucht habe, da sich nach dem Patchen nichts getan hat, also keine Veränderung...

    Kann mir jemand das nochmal etwas genauer erklären, oder einen link zu einem tutorial geben, das wäre nett..

    MfG
    leech

    0
  • ?

    Poste mal den link zum Originalthread.

    0
  • ?

    leech schrieb:

    nun hatte ich vor,

    004997CB   . 74 26          JE SHORT unpacked.004997F3

    das zu patchen, bzw genauer zu noppen... also die 74 und 26

    nun brauche ich ja die relative Adresse, ...

    Eine "relative Adresse" brauchste nur, wenn die EXE gepatched werden soll. Das scheint hier aber nicht der Fall zu sein.

    leech schrieb:

    Meine Frage ist, ob das die richtigen Adressen sind, die ich da rausgesucht habe, da sich nach dem Patchen nichts getan hat, also keine Veränderung...

    Das allerdings ist eine Frage, die nur Du selbst beantworten kannst.

    0
  • ?

    OllyDbg + OllyDump plugin, dann in OllyDbg patchen und dumpen.

    0
Anmelden zum Antworten