0

我正在做的是将 DLL 注入正在运行的进程中。然后我继续检查有关该过程的一些信息,例如版本等。我的问题是我似乎无法访问程序集文件中的字符串,其中包含我要仔细检查的修订号。这是我到目前为止所拥有的:

__declspec(naked) void CheckBuild()
{
    char* revision;
    __asm {
        sub esp, __LOCAL_SIZE
        pushad
        pushfd

        mov revision, dword ptr 0x5F5200
    }

    printf("Detected revision ID: %u\n", revision);

    __asm {
        popfd
        popad
        add esp, __LOCAL_SIZE
        retn
    }
}

对于这个培训内容,我通过 IDA 获得并使用 CheatEngine 和 OllyDbg 检查的字符串地址是不变的。

但是,无论我尝试什么,我总是得到十进制的 0x5F5200,这绝对不是我所期望的。我几乎尝试了一切,包括 lea 和其他人,但我仍然没有得到有效的字符串。

谁能指出我正确的方向?

4

1 回答 1

1

  1. 您缺少“取消引用”:

    mov revision, dword ptr [0x5F5200]

这不是一个有效的指令,因为它有两个间接指令,所以

mov eax, dword ptr [0x5F5200]
mov revision, eax

  1. 如果该值确实是一个字符串,那么还有其他问题:

    • 如果字符串存储在 0x5F5200,您只需使用

    printf("Detected revision ID: %s\n", 0x5F5200)

    • 如果字符串的地址存储在 0x5F5200,您将使用

    printf("Detected revision ID: %s\n", revision)

  2. 字符串格式

如果字符串是 unicode,您将使用

printf("Detected revision ID: %S\n", revision);

(请注意,对于 wprintf,它是另一种方式'round: %s 用于宽字符串, %s 用于 char 字符串)。

最后,如果字符串不能保证以零结尾但具有固定长度,则需要从地址复制到本地缓冲区,并确保在打印前零结尾。

于 2012-09-24T16:28:13.593 回答