Ollydbg遇到ShellExecuteA该怎么跳走?

stook

请问下 要NOP那一句 不执行res\tools\runpopup.exe呀   是 007E8975 吗 ?

1. 才可以让
   
2. 007E8945   .  8B15 4C7A8100 MOV EDX,DWORD PTR DS:[817A4C]            ;  FishDesk.00819CE8
   
3. 007E894B   .  8B12          MOV EDX,DWORD PTR DS:[EDX]
   
4. 007E894D   .  8D45 AC       LEA EAX,DWORD PTR SS:[EBP-54]
   
5. 007E8950   .  B9 D48B7E00   MOV ECX,FishDesk.007E8BD4                ;  res\tools\runpopup.exe
   
6. 007E8955   .  E8 6ECEC1FF   CALL FishDesk.004057C8
   
7. 007E895A   .  8B45 AC       MOV EAX,DWORD PTR SS:[EBP-54]
   
8. 007E895D   .  E8 1AD0C1FF   CALL FishDesk.0040597C
   
9. 007E8962   .  50            PUSH EAX
   
10. 007E8963   .  68 FC8B7E00   PUSH FishDesk.007E8BFC                   ;  open
    
11. 007E8968   .  A1 88838100   MOV EAX,DWORD PTR DS:[818388]
    
12. 007E896D   .  8B00          MOV EAX,DWORD PTR DS:[EAX]
    
13. 007E896F   .  E8 E018CDFF   CALL FishDesk.004BA254
    
14. 007E8974   .  50            PUSH EAX                                 ; |hWnd
    
15. 007E8975   .  E8 36FCC5FF   CALL <JMP.&shell32.ShellExecuteA>        ; \ShellExecuteA
    
16. 007E897A   .  A1 88838100   MOV EAX,DWORD PTR DS:[818388]
    
17. 007E897F   .  8B00          MOV EAX,DWORD PTR DS:[EAX]
    
18. 007E8981   .  8B80 84040000 MOV EAX,DWORD PTR DS:[EAX+484]
    
19. 007E8987   .  B2 01         MOV DL,1

复制代码

我直接把的007E8BD4字符串改了.直接用 20填充.. 呵呵!
感谢 rxzcums ujtyug

[ 本帖最后由 stook 于 2009-7-15 19:11 编辑 ]

ujtyug

尝试把7E8974到7E8978处的代码都改成十六进制58（也就是POP EAX，如果POP EAX反汇编了不是58，以POP EAX为准），7E8979处改成十六进制90（也就是NOP）。
本来应该可以只加个跳转的，不过这个程序反汇编的代码没那么直观。。压栈不够连续。

[ 本帖最后由 ujtyug 于 2009-7-11 22:43 编辑 ]

rxzcums

从007E8962到007E8975全部nop

你这个不是弹网页，是要启动某个exe，所以你为什么要跳走？

[ 本帖最后由 rxzcums 于 2009-7-11 23:20 编辑 ]

stook

原帖由 rxzcums 于 2009-7-11 23:19 发表
从007E8962到007E8975全部nop

你这个不是弹网页，是要启动某个exe，所以你为什么要跳走？

他启动的EXE 就是弹广告的.所以我想跳走.

[ 本帖最后由 stook 于 2009-7-15 19:12 编辑 ]

阿拉神灯

学习了学习了，虽然看不懂，慢慢积累

老万

学习了，谢谢。

eopenfang

把那个 call去掉就成了。