ce 改汇编的问题

独倚斜阳

这个地址  我用ce的自动汇编  就能生效，大致是执行到这个地址后 jmp 执行我改后的语句然后执行完又跳回来继续执行下面其他的

申请内存地址 ＝ 内存.申请内存 (句柄, 4096, )
内存.跳转到地址 (句柄, 目标内存地址, 申请内存地址, )

然后我不知道我怎么把
mov edx,42480000
mov [rex],edx
写到我申请的内存地址里面，也不知道执行完毕后怎么跳回来
用的这个模块用这个 内存读写模块 里面的 类_x64进程内存 不知道咋写？
https://bbs.125.la/forum.php?mod ... 8%E8%AF%BB%E5%86%99

佛学e语言

独倚斜阳 发表于 2024-11-11 05:26
我找着ce改后的 mov XXXX  把他字节集抄下来了  也能写入跳转了

但是ce里面改  他会在跳转行下面一个内存 ...

在ce里面把功能搞好了, 直接抄字节集到e里面,
回跳只能手写, 注入点的jmp占用5字节, 不够的需要用nop占位

独倚斜阳

我找着ce改后的 mov XXXX  把他字节集抄下来了  也能写入跳转了

但是ce里面改  他会在跳转行下面一个内存地址补一个90  nop

并且跳转回来那个我还不知道咋弄。。。

能不能在附加信息里面搞个跳回来？

li6601350

附加字节有一个nop 就填  {144}

li6601350

这样.....

独倚斜阳

我申请的内存地址 往回跳 跳回来的jmp+地址 老不对，然后我直接抄CE的字节，哪怕字节显示和CE一模一样 跳回来的地址都是不同
崩了一晚上了

佛学e语言

申请地址不好用, 去内存里找一块合适的空白地址, xxxxx+22523这种模块地址,
那个模块搜特征码比较好用

独倚斜阳

佛学e语言 发表于 2024-11-11 14:45
申请地址不好用, 去内存里找一块合适的空白地址, xxxxx+22523这种模块地址,
那个模块搜特征码比较好用 ...

我基本快好了 jmp问题什么的都解决了 用的这个自动补码解决的往回跳转

就是不知道为什么  有一段哪怕是刚刚申请的内存  可读可写可执行的那种
后面一句话调用的时候再去查看内存属性就变成了
当前属性 1=不可访问

补充内容 (2024-11-11 17:24):
https://bbs.125.la/forum.php?mod ... 4&highlight=jmp

独倚斜阳

佛学e语言 发表于 2024-11-11 14:45
申请地址不好用, 去内存里找一块合适的空白地址, xxxxx+22523这种模块地址,
那个模块搜特征码比较好用 ...

内存没问题  我开始把内存地址的长整数弄成了整数报错了
现在能正常写入jmp和写入跳回

但是上面我发的链接里面的源代码 自动补码里面的 jmp跳回来的地址不对  我怀疑是不是64位的要另外写

从后面往前面跳回来

独倚斜阳

  

子程序名	返回值类型	公开	备 注
jmp计算	字节集
参数名	类 型	参考	可空	数组	备 注
代码地址	整数型
跳转地址	整数型

变量名	类 型	静态	数组	备 注
变量1	整数型
变量2	字节集

变量1 ＝ 跳转地址 － 代码地址
如果 (变量1 － 2 ≥ -128 且 变量1 － 2 ≤ 127)
变量2 ＝ { 235 } ＋ 到字节集 (到字节 (变量1 － 2))
变量2 ＝ { 233 } ＋ 到字节集 (到整数 (变量1 － 5))

返回 (变量2)

.版本 2<br /> <br /> .子程序 jmp计算, 字节集<br /> .参数 代码地址, 整数型<br /> .参数 跳转地址, 整数型<br /> .局部变量 变量1, 整数型<br /> .局部变量 变量2, 字节集<br /> <br /> 变量1 ＝ 跳转地址 － 代码地址<br /> <br /> .如果 (变量1 － 2 ≥ -128 且 变量1 － 2 ≤ 127)<br />     变量2 ＝ { 235 } ＋ 到字节集 (到字节 (变量1 － 2))<br /> .否则<br />     变量2 ＝ { 233 } ＋ 到字节集 (到整数 (变量1 － 5))<br /> .如果结束<br /> <br /> 返回 (变量2)

这个似乎有问题