第三步:火横扫1020这个包为例,这个包有2个注入位点(即包内Address的地址),
![](http://tiebapic.baidu.com/forum/w%3D580/sign=1ef9c684f4b7d0a27bc90495fbee760d/a4dacc071d950a7bb1c5e4f24cd162d9f3d3c96d.jpg?tbpicau=2024-07-13-05_141f90167a0f88b6b6579ef01a1b41e3)
可以看到第一个注入位点是添加一条跳转到第二个注入位点的代码。(图中的3 jmp san
11pk.exe + 530000就等于跳转到0x930000(530000+400000,san11在ce看到的所有地址都是要加400000的,0x930000正好是第二个注入点位的位置。)。
继续跳转到0x930000看第二个注入点位的内容,如下图
![](http://tiebapic.baidu.com/forum/w%3D580/sign=7cc1e4ea12e736d158138c00ab514ffc/483eaafb513d26979d21a26b13fbb2fb4216d86f.jpg?tbpicau=2024-07-13-05_9f714261eb56922213fce3f4211178cd)
可以看到,这段修改代码其实很短,其中涉及到具体跳转点位的就三处。其中1 (je san
11pk.exe +53002e是代码内部跳转,可以看到左侧有虚线箭头指向mov ebp,[exp+10])是不用改的,一般来说,代码内部的短距离跳转都是不需要改的,他跳的是相对位置。然后2(call san11pk.exe+1887e0)是调用一个指定地址的函数, 是需要改的,因为这是个具体的地址,国版和韩版地址是不同的。最后3这处(jmp san11pk.exe+194a67)是跳回到第一个注入点之后的位置,也就是返回,因为是长距离跳转,也是要改的。所以总结下,对于第二个注入位点,我们只需要把2和3箭头处的位置改了就好,修改方法如下图。
![](http://tiebapic.baidu.com/forum/w%3D580/sign=c6c4ed8d0110b912bfc1f6f6f3fcfcb5/447d8cdca3cc7cd986c59eef7f01213fb90e9174.jpg?tbpicau=2024-07-13-05_f248aa985e0fb50c1a44e8003673ae66)
2,3改完后把图中4的修改后的数据选中,复制,黏贴回scp包的enablecode里。就可以用了
![](http://tiebapic.baidu.com/forum/w%3D580/sign=c72b5cc885fdfc03e578e3b0e43e87a9/65c2a3e83901213fb7d9e4ea12e736d12e2e9576.jpg?tbpicau=2024-07-13-05_ec320cc6ddcd2ab3723c3663c2bd9c94)
同时注意,如果disablecode里有对应的具体内存地址,也要如上述方法一样修改。
第二个注入位点的最终修改结果
![](http://tiebapic.baidu.com/forum/w%3D580/sign=eb0f2338f73533faf5b6932698d2fdca/d2554b51352ac65ce2efcc45bdf2b21192138a77.jpg?tbpicau=2024-07-13-05_eb0213cbc1c348b03ab29cc5de2cca08)