|
|
准备工具 1 C32ASM 或者其他反汇编工具 2 UE 或者其他16进制编辑工具
下面开工, 首先ue打开cache目录下的Cserver.dat 搜索Iexplore.exe 一共会找到2处,
其中上面那处是要插入程序的路径, 下面那处是进程名比如我们要选择svchost.exe 作为插入进程,
直接把下面改为 svchost.exe
改完后的样子
下面来看上面那处
这里注意看 是:\\Program Files\\Internet Explorer\\IEXPLORE.EXE 可以判断出
他是先由GetWindowsDirectory 获得了系统盘符 然后再把后面的ASCII 字符压入到后面。
把:\\Program Files\\Internet Explorer\\IEXPLORE.EXE改为svchost.exe 从冒号那里就开始改 ,
后面多出的字符用00填充
改完后保存,用C32ASM载入你改好的
然后选择汇编模式 按cirtl+G跳到0049B78C
你会看到
0049B78C: E8 F387F6FF CALL 00403F84
0049B791: 8B55 F4 MOV EDX, [DWORD SS:EBP-C]
0049B794: 8D45 FC LEA EAX, [DWORD SS:EBP-4]
0049B797: B9 74C44900 MOV ECX, 49C474
这几句。 其中
0049B78C: E8 F387F6FF CALL 00403F84
这句是呼叫得到系统盘符的函数, 我们把这整句nop掉
0049B797: B9 74C44900 MOV ECX, 49C474
这个关联的就是:\\programfiles了不做修改
保存 就ok了
如果实在不会改。 那你就用ue打开他,
找到图中这个位置把 红色的地方改为90
关于如果太长不够地方写怎么办
图中所给的 是调用那个:\\program files 的地址, 因为黑防鸽子在最后留的空间比较小,
我们可以先加一个区段。 这样空白处就比较大了。 然后把:\\program ....这句写在空白处。
然后看清:这个号的地址, 把move后面的那个地址写成他的, 这样调用地址就被换了 |
|
发表于 2008-11-6 19:57:43
