olly

Iniciado por GliXeN, 30 Junio 2007, 22:24 PM

0 Miembros y 1 Visitante están viendo este tema.

GliXeN

hola quiero modificar las siguientes instruciones ya que son las que me detecta mi av he intentado moverlas de sitio y hacer su jmp correspondiente pero el programa se me queda inutilizable.
hay alguna ekivalencia???
00002194 53 PUSH EBX
00002195 45 INC EBP
00002196 54 PUSH ESP

Shaddy

Cita de: GliXeN en 30 Junio 2007, 22:24 PM
hola quiero modificar las siguientes instruciones ya que son las que me detecta mi av he intentado moverlas de sitio y hacer su jmp correspondiente pero el programa se me queda inutilizable.
hay alguna ekivalencia???
00002194 53 PUSH EBX
00002195 45 INC EBP
00002196 54 PUSH ESP

claro, porque no las cambias de lugar?

INC EBP
PUSH ESP
PUSH EBX

y ya está, no hay que buscar equivalencias solo alterar el orden...

Salu2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com

Shaddy

Cita de: GliXeN en 30 Junio 2007, 22:24 PM
hola quiero modificar las siguientes instruciones ya que son las que me detecta mi av he intentado moverlas de sitio y hacer su jmp correspondiente pero el programa se me queda inutilizable.
hay alguna ekivalencia???
00002194 53 PUSH EBX
00002195 45 INC EBP
00002196 54 PUSH ESP

perdona, me salté lo de que probaste a cambiarlas de lugar, si te queda inutilizable entonces debugealo y ponle un bp on access a esos bytes porque igual los utiliza para hacer cualquier cosa, entonces lo mejor es ponerles otro valor y antes de que los vaya a utilizar hacer un "mov [ese offset], bytes originales" para que los restaure a como estaban...

Sal2..
"Si buscas resultados diferentes, no hagas siempre lo mismo" (Albert Einstein)

http://abssha.reversingcode.com
http://www.reversingcode.com