91510301051_.pic_hd.jpg

這是好的。如果遇到常量區(qū)的中文就慘了。但是有時候，根據(jù)中文定位函數(shù)。就要找中文了。
今天，一小伙伴問我怎么改，我又把之前的找得方法復(fù)習(xí)了一遍。順便寫下來了。
遇到中文，如：鼎力。這兩個字，首先我要找到這個兩字ascII碼。那我就發(fā)個好用的轉(zhuǎn)換網(wǎng)址：

http://tool.oschina.net/encode?type=3

結(jié)果是這樣的：

36DC4F74181A7989B632FF7B2D6C6522.jpg

\u9f0e\u529b 這個就是中文：鼎力。準(zhǔn)確的說是： 9f0e 529b
一個中文占兩字節(jié)那么應(yīng)該是這樣的:鼎( 9f0e)力( 529b)
有因為高位在高地址，低位在低地址的，原則。他在內(nèi)存中的順序應(yīng)該是這樣的： 0e 9f 9b 52
好了，知道這些后我就是開始找吧。
中文字符這樣 的一定是在常量區(qū)。定義常量 dd xx 這樣。
所以我們要在hopper里面搜 db 0x0e

4C8406E6-8A90-4857-9B8B-F8090A602317.png

8C7BDA04-ADA1-4162-8669-177C3BC154C5.png

直接修改匯編有諸多限制，文字字?jǐn)?shù)等限制。不如hook.