Mit Adressen kann man On- und Offbytes für ASM suchen. Natürlich kann man auch die Pattern, dass habe ich euch schon erklärt. Wie ihr On- und Offbytes für ASM sucht, erkläre ich euch jetzt.
Als erstes öffnet ihr wieder OllyDbg als
Adminstrator. Danach geht ihr auf
File -> Open und öffnet die
gedumpte WarRock.exe. Als nächstes klickt ihr oben auf das
Play Zeichen.
Nun klickt ihr
Strg + G und es erscheint ein
kleines Fenster. Dort gebt ihr (Als Beispiel) die
Quick Plant Adresse ohne
0x ein. Anschließend klickt ihr auf
OK.
Jetzt seht ihr schon sofort in der
1. Zeile die
Off-Bytes.
\x7D\x16 sind also die Off-Bytes.
Wenn ihr etwas weiter nach
unten geht, seht ihr
FSTSW AX. Die ASM Adresse davon ist
528985.
Da
FSTSW AX vorhanden ist, fangen die On-Bytes mit
\xEB an. Jetzt müssen wir nur noch die 2. Byte ausrechnen, da es nur 2 Bytes sind. Das wissen wir, weil die
Off-Bytes auch 2 Bytes haben. So, ihr öffnet als nächstes euren Rechner, klickt
Alt + 3 und gebt dort unter
Hex die Adresse von
FSTSW AX ein. Jetzt rechnet ihr
minus die
Quickplant Adresse. Also
528985 - 528951. Das ergibt
34. Also ist die 2. On-Byte
\x34. Zusammen wäre es dann
\xEB\x34.
Es gibt aber auch Situationen, wo kein
FSTSW AX vorhanden ist, dann müsst ihr
meistens nach
NOPS suchen, also
x90. Dafür geht ihr auf die
Zeile der
Adresse, macht
Rechtsklick -> Binary -> Fill with NOP's. Dann zeigt euch OllyDbg an, wieviele Nops es sind (meistens genau so viele wie die Off-Bytes).