哈哈,这才是我们想要的嘛。记住它的起始地址01007D76,然后按照同样的方法添加第二条命令,最终添加的命令如图七。
同样记住第二条命令的起始地址01007D90。
要执行的命令都添加完了,下一步该是如何执行这些命令了。我们可以利用msvcrt.dll 中的system函数来执行我们的命令。一般我们都是这样使用system函数的:
#include <windows.h>
void main(void)
{
LoadLibrary("msvcrt.dll");
system("net user mfm /add");
}
那么我就得先看看notepad.exe是否加载了msvcrt.dll,如果没有加载的话我们还需要添加加载动态连接库的代码.按下olly工具栏的"E"按钮或者直接按alt+E呼出模块可执行模块窗口,如图八.
看样子是加载了,我们可以直接使用system函数了.
下面我们再从那些空间中任意选一个地址比如01007DD0(记住这个地址),鼠标双击该地址所在行的"DB 00"处或者直接按空格,调出汇编编辑窗口. 然后将保存我们要执行的第一条指令的地址压入堆栈,如图九.
上一页 1 2 3 4 5 6 下一页 |
安全中国首页 > 文章中心 > 逆向工程技术