|
Título: olly Publicado por: GliXeN en 30 Junio 2007, 22:24 pm hola quiero modificar las siguientes instruciones ya que son las que me detecta mi av he intentado moverlas de sitio y hacer su jmp correspondiente pero el programa se me queda inutilizable.
hay alguna ekivalencia??? 00002194 53 PUSH EBX 00002195 45 INC EBP 00002196 54 PUSH ESP Título: Re: olly Publicado por: Shaddy en 1 Julio 2007, 14:24 pm hola quiero modificar las siguientes instruciones ya que son las que me detecta mi av he intentado moverlas de sitio y hacer su jmp correspondiente pero el programa se me queda inutilizable. hay alguna ekivalencia??? 00002194 53 PUSH EBX 00002195 45 INC EBP 00002196 54 PUSH ESP claro, porque no las cambias de lugar? INC EBP PUSH ESP PUSH EBX y ya está, no hay que buscar equivalencias solo alterar el orden... Salu2.. Título: Re: olly Publicado por: Shaddy en 1 Julio 2007, 14:28 pm hola quiero modificar las siguientes instruciones ya que son las que me detecta mi av he intentado moverlas de sitio y hacer su jmp correspondiente pero el programa se me queda inutilizable. hay alguna ekivalencia??? 00002194 53 PUSH EBX 00002195 45 INC EBP 00002196 54 PUSH ESP perdona, me salté lo de que probaste a cambiarlas de lugar, si te queda inutilizable entonces debugealo y ponle un bp on access a esos bytes porque igual los utiliza para hacer cualquier cosa, entonces lo mejor es ponerles otro valor y antes de que los vaya a utilizar hacer un "mov [ese offset], bytes originales" para que los restaure a como estaban... Sal2.. |