原帖中的dll的函数分页保存的4位数字,如:0001,0002,0003,这个让我比较难受,所以打算改造一下,动手后却发现原贴的dll是加壳了,本人不太会解壳,所以上网找到了原始的dll,结果发现原始dll会加水印。不过好在原始dll没有加壳,所以果断动手改造,下面把改造过程分享给大家
1.先去水印,上od后可以看到call都是明文,所以很快可以定位到,直接jmp走
2.再找到save函数,把格式改掉,格式是push一个全局变量入参的
一开始我是将push的地址里面的内容由 %s%s%04d%s 变成 %s%s%d%s
结果发现行不通,OD里面不是每次加载都会在这个地址。也不知道是不是我自己的问题
后来上hex,搜索字符串很快定位到地址
修改一下
然后保存,再打开软件试一下,发现成功了,文件的名字由0001,变成了我需要的1。
下一篇 多功能对比分析器正式版