Ergebnis 1 bis 7 von 7

Baum-Darstellung

  1. 10.03.2010, 15:27 #4
    EBFE
    EBFE ist offline
    OpCodeKiddy Avatar von EBFE
    Registriert seit
    30.03.2009
    Beiträge
    442

    Standard

    Du musst die sub [eax],ecx Anweisung überschreiben.

    Den Patch selbst kannst du z.B mit InlineASM oder Ollydbg erstellen:
    Code:
     0108          ADD DWORD PTR DS:[EAX],ECX
    das ist zum Beispiel Ollydbg Ergebnis für add [eax],ecx. Links der Opcode dafür und rechts die "menschenlesbare" Übersetzung. D.h um dein "sub [eax],ebx" (opcode 29 08) zu ändern brauchst du nur ein Byte zu patchen: 29 zu 01. Das macht man genauso wie "memorypatches" mit WriteProcessMemory

    PS:Normalerweise haben Code Bereiche eine "Execute,Read" Zugrifferlaubnis, so dass man nicht ohne weiteres etwas hineinschreiben kann. Kann man aber ändern mit VirtualProtectEx - patchen und dann wieder mit VirtualProtectEx den alten Zugriff setzen.
    TrueCrypt/RAR/Zip Passwort vergessen und das Bruten dauert ewig? Oder brauchst du fein abgestimmte Wortlisten? Hilf dir selbst mit WLML - Word List Markup Language
    Gib Stoned/Mebroot/Sinowal und anderen Bootkits keine Chance: Anti Bootkit v 0.8.5
    Zitieren Zitieren

  2. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    DoS (10.03.2010)
« Vorheriges Thema | Nächstes Thema »

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln