[HaBo]

90nop

Anzeige

@CDW:

Hm, vielleicht liegts an Vista, teste es am Abend jedefalls mal auf beiden Systemen XP und Vista. Ich habe es jedenfalls genau gleich gemacht.

(Bei nem simplen binary paste verändert sich die Zieladresse des Calls automatisch.(jedenfalls bei mir mit vielen Plugins) habe die dann wieder angepasst, dass sie wieder auf das gleiche Zielt wie vorher. ) DIe Call Zieladresse muss ja gleich bleiben, da sie ja sonst nicht zur Sub/Funktion springen würde, sondern sonst wo hin. WO genau an dem Call etwas relativ ist, sehe ich ehrlichgesagt nicht. Ich glaube mir fehlen einfach zu viele asm Basics

->
Er springt doch einfach zur Adresse '0043A604'.(Ist ja bei beiden Fehlermeldungen die gleiche Zieladresse, sonst würde ich es auch nicht verstehen) Und solange man in der gleichen exe ist, sollte man ja immer am gleichen Ort landen.


Zum Link: Man kann sich das keygenme übrigens nur als angemeldeter Benutzer ansehen.

CDW

kannst Du mal Deine Version hochladen? Eventuell liegt der Fehler auch woanders.
Bzw: läuft meine Version nicht unter Vista?

also:
aktuelle Position des Calls(45B28E)+relativerAbstand(FFFDF371)+CALL Opcodesize (5Bytes)=Zieladresse. Also FFFDF371+45b28E+5=43A604
Olly rechnet es freundlicherweise schon vorher heraus und zeigt dann statt CALL +FFFDF371 das Endergebnis CALL 43A604. Genauso ist es mit vielen JMPs - da sind die Angaben auch relativ zu der aktuellen Position. Genau aus diesem Grund verändert sich die Call Adresse scheinbar, wenn man in Olly Binary copy/paste macht - die Bytes bleiben gleich, allerdings ergibt sich durch neue Position auch ein neuer Zielwert.
Man muss jetzt nicht unbedingt immer in der Opcodetabelle nachschauen, was für ein Call vorliegt - wenn die "Adressopcodes" sonst keinen Sinn ergeben, muss wohl ein relativer JMP/CALL vorliegen. Bsp:

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

90nop

Ach so ist das.

Demnach rechnete Olly nach dem Binary paste einfach die "neue" Adresse aus, die dann nicht mehr dem Begin der Sub/Funktion entsparch.
Wenn ich dann aber einen Doppelklick auf diesen Befehl mache, kann ich ja den asm code editieren. Reicht es nicht aus, dort einfach die Adresse von oben einzugeben? (Genau das habe ich gemacht -> damit dort wieder CALL 0043A604 stand.)

Wenn ja, dann habe ich es zumindest in der Theorie verstanden.

kann ich erst am abend testen.

Ich werde einen Screenshot nach dem patchen machen, und ihn hochladen. Geht aber auch erst abends.

lg & danke für deine tollen Erklärungen

EDIT:

Habe es nun doch hingekriegt. Es lag daran, dass ich nach dem CALL nicht "schön" zum Ende gesprungen bin. es hat erst dort geknallt.

Ich habe im Anhang ein Bild des Funktionierenden Patches.