修改exescope6.10
-
曾经发现有些用upx压缩的软件,用prodump1.62解压后虽然可以反编译,但不能用exescope等察看或修改其中的资源。最近有人又出题,modemspy v1.6。用fileinfo看是upx0.72版压缩,用prodump解压运行无误,wdasm也可以反编译并找到其中的字符串。可是用exescope6.10等就是不能修改,说“"Cannot recognize the internal structure”。
用ultraedit打开modemspy.exe,在起始部看到
$Id: UPX 0.72 Copyright (C) 1996-1999 Laszlo Molnar & Markus Oberhumer $
$Id: NRV 0.61 Copyright (C) 1996-1999 Markus F.X.J. Oberhumer $
$License: NRV for UPX is distributed under special license
字样,估计就是NRV带来的麻烦。
猜想NRV防止修改资源的原理是,修改资源前的标记;或者对资源进行特别压缩。如果是前者,exescope等是依照这些标记来显示资源的。最好的办法是找到这些标记,改回来;从而用任何资源修改器都可以认识。只是我才疏学浅,不知方法?在此诚心请教。 如果资源被特别压缩了就很困难了,不过好像还没有看到这类软件,哈哈。
我的办法是修改exescope,使得不管这些标记对错,都显示。所以用wdasm反编译exescope6.10(872.960字节)英文原版,在“字符串引用”中寻找“Cannot recognize the internal structure”字样,共2处。(1)cs:00436577;(2)cs:004ACD78。用trw分别设断,用exescope打开解压的dump-modemspy.exe,在“字符串”中打开一个,被trw拦下:
......
:004ACD6D 3B45E0 cmp eax, dword ptr [ebp-20] <==eax为0
:004ACD70 7F15 jg 004ACD87 <==not jump
:004ACD72 8B15F8694B00 mov edx, dword ptr [004B69F8]
* Possible Reference to String Resource ID=00140: "Cannot recognize the internal structure, %s"
|
:004ACD78 B88C000000 mov eax, 0000008C
:004ACD7D E86E4A0000 call 004B17F0
:004ACD82 E97B020000 jmp 004AD002
OK。再用它打开一个没有压缩的程序,
:004ACD6D 3B45E0 cmp eax, dword ptr [ebp-20] <==eax为一个大数
:004ACD70 7F15 jg 004ACD87 <==jump
所以用hiew打开exescope.exe,到
:004ACD70 7F15 jg 004ACD87
~~
改为:004ACD70 EB15 jmp 004ACD87 <==强迫跳转
~~
保存后用之修改并保存解压的dump-modemspy.exe,OK。
相关视频
相关阅读 Windows错误代码大全 Windows错误代码查询激活windows有什么用Mac QQ和Windows QQ聊天记录怎么合并 Mac QQ和Windows QQ聊天记录Windows 10自动更新怎么关闭 如何关闭Windows 10自动更新windows 10 rs4快速预览版17017下载错误问题Win10秋季创意者更新16291更新了什么 win10 16291更新内容windows10秋季创意者更新时间 windows10秋季创意者更新内容kb3150513补丁更新了什么 Windows 10补丁kb3150513是什么
- 文章评论
-
热门文章
去除winrar注册框方法
最新文章
比特币病毒怎么破解 比去除winrar注册框方法
华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)通过Access破解MSSQL获得数据人气排行 华为无线路由器HG522-C破解教程(附超级密码JEB格式文件京东电子书下载和阅读限制破解教UltraISO注册码全集(最新)qq相册密码破解方法去除winrar注册框方法(适应任何版本)怎么用手机破解收费游戏华为无线猫HG522破解如何给软件脱壳基础教程
查看所有0条评论>>