:0061640B B201 mov dl, 01:0061640D 8BC3 mov eax, ebx:0061640F E8BCC10000 call 006225D0:00616414 C6836801000000 mov byte ptr [ebx+00000168], 00:0061641B E977010000 jmp 00616597:00616420 888368010000 mov byte ptr [ebx+00000168], al:00616426 C68300D1650000 mov byte ptr [ebx+0065D100], 00:0061642D 33C9 xor ecx, ecx:0061642F 33D2 xor edx, edx:00616431 B0DE mov al, DE:00616433 E884AE0100 call 006312BC:00616438 B201 mov dl, 01 所以我们只要让上边两个注释的地方都不要跳走,就可以实现随时随地逃的功能了,修改很简单,我们把上边的两个跳转语句全部注销掉就OK了,汇编语言里注销语句为NOP 转为机器指令也就是90,所以修改如下 原文:00616376 6681B8EC470000AD65 cmp word ptr [eax+000047EC], 65AD<---此处比较是否为逃离点:0061637F 7577 jne 006163F8 <---不是就跳走 * Referenced by a (U)nconditional or (C)onditional Jump at Address:0061636D(C)
关键词:一个外挂的更改案例