使用它在C中的内存中编辑字符串

push offset aString

组装和链接后,这解决了一个实际的地址说：

push 0x00ABCDEF

这为您提供了两个选择：

>写入数据：修改aString的内容(即0x00ABCDEF指向的内存)
>编写代码：修改对aString的引用

写数据

当编译源代码涉及标准C字符串文字(内存中的不可变字符数组)时,在运行时,字符串通常映射到包含所有其他只读数据的某个只读页面.这些数据通常是连续打包的,以减少程序的内存占用.这是你试图写一个更大的字符串时遇到的问题.您将覆盖下一条数据,对此覆盖数据的任何引用现在将指向大字符串的中间位置.

通过更改数据来编写更长的字符串并非易事,因为为了不丢失原始的功能行为,必须在字符串前进后移动所有数据.之后,您必须更新所有对移位数据的引用(其中一些可以使用指针算法动态计算).正如我所说,这个过程并不重要 – 您试图在没有完整(如果有)符号信息的情况下重新定位链接器的任务.

编写代码

简单的方法是在任意位置编写新字符串.这可能是未使用但在进程中已经保留的内存(通常称为“代码洞穴”),或者它可能是您在注入DLL时映射的字符串文字.或者,您可以在注入后在运行时动态分配.

下一步是找到对aString的所有引用,并替换它们以引用新的字符串.

奖金方法:)

由于您正在深入研究这一级别的逆向工程,您可能会遇到绕行/拦截/仪表的概念.这里可以应用类似的方法来拦截所有引用并在运行时重定向它们.与上面列出的“编写代码”方法相比,这会对性能产生更大的影响,但会保证所有访问都被捕获并重定向.

访问时的硬件断点设置为字符串指向的数据.当触发断点时,某些寄存器将保存字符串的地址.在汇编中,这可能看起来像这样：

mov esi,0x00ABCDEF
...

如果访问第一个字符,代码可能会这样做：

mov al,byte ptr ds:[esi]

当你的断点被命中时,你可以设置线程上下文(Windows上的SetThreadContext)来修改esi的值以指向你的新字符串.