首页
论坛
课程
招聘
问答 企服 专栏 CTF 众测 排行榜 知识库 工具下载 看雪峰会 看雪20年 看雪商城 证书查询
  1. 看雪论坛
  2. 软件逆向
    3. 发新帖
[原创]RadAsm 3.x支持中文注释
2016-5-25 20:16 7827

[原创]RadAsm 3.x支持中文注释

[ID]ZE 活跃值
2016-5-25 20:16
7827
原版下载地址:
   
https://fbedit.svn.sourceforge.net/svnroot/fbedit/RadASM30/Release/RadASM.zip
        RadAsm是大家熟悉的一款汇编编译器,笔者最近下载了貌似是最新版的,在使用后发现不支持中文注释,如图1

        图1  中文注释乱码
        尽管网上有下载别人共享的中文版本,笔者还是想亲自探个究竟,看下到底是什么原因不支持中文注释,所以,在此记录下修改的过程。
        用OD载入RadAsm.exe,F9 先让程序运行起来,然后下断bp CreateFontA,点击工具栏的快捷按钮新建文档(图2)。断下来后,返回程序领空。

        图2   新建文档
        来到这里。
       
0046644E    E8 6FF70000     call <jmp.&gdi32.GetTextMetricsA>
00466453    0FB645 CF       movzx eax,byte ptr ss:[ebp-0x31]
00466457    8983 AC010000   mov dword ptr ds:[ebx+0x1AC],eax
0046645D    C783 B0010000 0>mov dword ptr ds:[ebx+0x1B0],0x0
00466467    3D 86000000     cmp eax,0x86
0046646C    74 15           je short RadASM.00466483
0046646E    3D 88000000     cmp eax,0x88
00466473    74 0E           je short RadASM.00466483
00466475    3D 80000000     cmp eax,0x80
0046647A    74 07           je short RadASM.00466483
0046647C    3D 81000000     cmp eax,0x81
00466481    75 06           jnz short RadASM.00466489
00466483    8983 B0010000   mov dword ptr ds:[ebx+0x1B0],eax
00466489    FFB3 A4010000   push dword ptr ds:[ebx+0x1A4]
0046648F    FF75 FC         push dword ptr ss:[ebp-0x4]
00466492    E8 DFEAFBFF     call <jmp.&gdi32.SelectObject>

        看上面的00466467处以下,看到很明显的cmp eax,0x86,这里的86就是中国的区号了,那么来个简单粗爆,并且行之有效的修改吧!
0046644E    E8 6FF70000     call <jmp.&gdi32.GetTextMetricsA>
00466453    0FB645 CF       movzx eax,byte ptr ss:[ebp-0x31]
00466457    8983 AC010000   mov dword ptr ds:[ebx+0x1AC],eax
0046645D    C783 B0010000 0>mov dword ptr ds:[ebx+0x1B0],0x0

        将上面这段代码的后三行NOP掉,改为
[COLOR="Red"]mov eax,0x86[/COLOR]

保存并运行,如图3

图3  支持中文注释

        附上修改好的主程序RadAsm.exe:
         RadASM_gb2312.rar

第五届安全开发者峰会(SDC 2021)10月23日上海召开!限时2.5折门票(含自助午餐1份)

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (7)
wofan[OCN]
雪    币: 1500
活跃值: 活跃值 (564)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
私信
wofan[OCN] 活跃值 21 2016-5-25 20:24
2
0
这个要支持你。不过现在这个好像用的人不多了。
Rprop
雪    币: 563
活跃值: 活跃值 (249)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
Rprop 活跃值 2016-5-25 20:40
3
0
怀  念
whydbg
雪    币: 1693
活跃值: 活跃值 (274)
能力值: ( LV9,RANK:156 )
在线值:
发帖
回帖
粉丝
私信
whydbg 活跃值 2016-5-25 21:07
4
0
支持。asm 写小程序还是可以得。
老伙计
雪    币: 804
活跃值: 活跃值 (395)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
老伙计 活跃值 2016-11-15 11:27
5
0
0x86 不是中国区号,而是 CHARSET ID,除了 0x86,程序中还出现了其它的多个ID它们分别是:
CHARSET ID            CHARSET NAME           CODE PAGE
   0x00                ANSI_CHARSET           1252
   0x80             SHIFTJS_CHARSET            932
   0x81              HANGUL_CHARSET            949
   0x86              GB2312_CHARSET            936
   0x88         CHINESEBIG5_CHARSET            950


      在正常的简体中文系统环境下 CHARSET ID = 0x86,而 RADASM 通过 Windows API GetTextMetrics 函数获取到的 CHARSET ID = 0x00,从而导致中文字符出现了乱码。

       这个问题,只需要修改原始程序中的一条指令就可以了。

【修改前】:
00466453  |.  0FB645 CF                  movzx   eax, byte ptr [ebp-31]


【修改后】:
00466453      33C0                       xor     eax, eax
00466455      B0 86                      mov     al, 86


      这样,可以使修改只针对问题,最大限度避免伤及无辜,以免给程序埋下隐患。
hackoflife
雪    币: 209
活跃值: 活跃值 (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
hackoflife 活跃值 2019-5-28 10:49
6
0
"而 RADASM 通过 Windows API GetTextMetrics 函数获取到的 CHARSET ID = 0x00" 原因是你的字体设置没设置好,如下设置即可:

框选出来的那个设置决定了  GetTextMetrics 的返回值。
最后于 2019-5-28 11:03 被hackoflife编辑 ,原因: 重新截图
Sampgirl
雪    币: 234
活跃值: 活跃值 (11)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
Sampgirl 活跃值 2019-7-14 21:42
7
0
古老的工具
tashika
雪    币: 284
活跃值: 活跃值 (18)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
私信
tashika 活跃值 2020-4-23 13:25
8
0
现在用哪个IDE比较好??
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回