如何修改随机窗口名字！

1）窗口一般来说是由CreateWindow/CreateWindowEx这两个函数创建的。打开OD，加载程序，Ctrl+N（或者右键 Search for->Name(lable)in current module）输入CreateWindow，其实不用输入完整就可以看到本程序使用的是CreateWindowExA 下硬件执行断点，输入he CreateWindowExA，点F9跑程序。2）断下后，看堆栈：0012FB5C 0057D7C9/CALL to CreateWindowExA from ReallyRe.0057D7C4 0012FB60 **|ExtStyle=0 0012FB64 00CD0B08|Class="ReallyReally_MainWindow"0012FB68 00BF3638|WindowName="Really?Really!0012FB6C 00CA0000|Style=WS_OVERLAPPED|WS_MINIMIZEBOX|WS_SYSMENU|WS_CAPTION 0012FB70 **D|X=6D(109.)0012FB74 FFFFFFF0|Y=FFFFFFF0(-16.)0012FB78 **|Width=326(806.)0012FB7C **|Height=278(632.)0012FB80 **|hParent=NULL 0012FB84 **|hMenu=NULL 0012FB88 **|hInst=** 0012FB8C ** \lParam=NULL WindowName是"Really?Really!这就是要改的内容。注意此时不要用Ctrl+F9或者Alt+F9来返回，看堆栈第一条：CALL to CreateWindowExA from ReallyRe.0057D7C4 在汇编窗口按Ctrl+G，输入0057D7C4，看到：0057D797|.50 push eax;lParam 0057D798|.57 push edi;hInst 0057D799|.8B53 5C mov edx,dword ptr[ebx+5C];0057D79C|.52 push edx;hMenu 0057D79D|.8B4B 58 mov ecx,dword ptr[ebx+58];0057D7A0|.51 push ecx;hParent 0057D7A1|.8B43 7C mov eax,dword ptr[ebx+7C];0057D7A4|.50 push eax;Height 0057D7A5|.8B53 78 mov edx,dword ptr[ebx+78];0057D7A8|.52 push edx;Width 0057D7A9|.8B4B 74 mov ecx,dword ptr[ebx+74];0057D7AC|.51 push ecx;Y 0057D7AD|.8B43 70 mov eax,dword ptr[ebx+70];0057D7B0|.50 push eax;X 0057D7B1|.8B53 04 mov edx,dword ptr[ebx+4];0057D7B4|.52 push edx;Style 0057D7B5|.8B4B 28 mov ecx,dword ptr[ebx+28];0057D7B8|.51 push ecx;WindowName 0057D7B9|.8B85 88FDFFFF mov eax,dword ptr[ebp-278];0057D7BF|.50 push eax;Class 0057D7C0|.8B53 08 mov edx,dword ptr[ebx+8];0057D7C3|.52 push edx;ExtStyle 0057D7C4|.E8 67A30600 call;\CreateWindowExA 0057D7C9|.85C0 test eax,eax;【在这里下断】在0057D7C9 test eax,eax这里按F2下断。按F9跑。3）断下后一路F8，来到这里：00402D02|.8945 E8 mov dword ptr[ebp-18],eax 00402D05|.68 FC845E00 push 005E84FC;ASCII"Really?Really!00402D0A|.E8 CDA40600 call 0046D1DC 00402D0F|.59 pop ecx 00402D10|.81C0 FC845E00 add eax,005E84FC;ASCII"Really?Really!00402D16|.8D95 4CFFFFFF lea edx,dword ptr[ebp-B4]00402D1C|.52 push edx 00402D1D|.50 push eax 00402D1E|.68 FC845E00 push 005E84FC;ASCII"Really?Really!00402D23|.8D4D A8 lea ecx,dword ptr[ebp-58]00402D26|.51 push ecx 00402D27|.E8 3C010000 call 00402E68 00402D2C|.83C4 10 add esp,10 00402D2F|.8D45 80 lea eax,dword ptr[ebp-80]00402D32|.C745 84 0000C>mov dword ptr[ebp-7C],0CA0000 00402D39|.68 ** push 258 00402D3E|.68 ** push 320 00402D43|.50 push eax 00402D44|.E8 2BA71700 call 0057D474 00402D49|.83C4 0C add esp,0C 00402D4C|.8D55 80 lea edx,dword ptr[ebp-80]00402D4F|.52 push edx 00402D50|.8B4D 08 mov ecx,dword ptr[ebp+8]00402D53|.83C1 04 add ecx,4 00402D56|.51 push ecx 00402D57|.E8 B8A71700 call 0057D514;【这个函数估计是Window:Create】00402D5C|.83C4 08 add esp,8;【F8来到这里】00402D5F|.8B5D 08 mov ebx,dword ptr[ebp+8]00402D62|.83C3 04 add ebx,4 00402D65|.8B33 mov esi,dword ptr[ebx]00402D67|.85F6 test esi,esi 00402D**|.74 0C je short 00402D77 00402D6B|.6A 05 push 5;ShowState=SW_SHOW 00402D6D|.56 push esi;hWnd 00402D6E|.E8 EF4E1E00 call;\ShowWindow 往上面看看，可以看到3个"Really?Really!offset都是5E84FC，应该就是标题了。在00402D05下断，重运行，修改5E84FC处的值，取消其他断点，F9。看看标题是否变化了。看到标题变化，说明找对地方了。4）之后是要找空地放新标题。用peid打开exe文件，点EP Section右边的那个按钮，进入Section Viewer。主要看.data这段，V.Offset是1E8000，加上base:400000也就是5E8000，5E84FC处的"Really?Really!其实就在.data段的开头部分。再看R.Size:4B200，也就是说exe文件中保存的data数据才4B200这么大，新标题要放在4B200这个范围内。当然，找空地可以直接在OD的Dump窗**找，还有个办法，就是在peid的Section Viewer中，右键，点C**e Finder。data这行RVA是23304B，size是1B5，这就是空地的位置和大小。23304B加上base也就是63304B，在OD的Dump窗口，按Ctrl+G，输入63304B。发现这块地方已经有数据了，有点麻烦了，保险起见，把数据放到后面去点，但是记住不能超过base(400000)+V.Offset(1E8000)+R.Size(4B200)，也就是633200。（这个数也就是C**e Info中RVA+Size+base的值）。那么取个整吧，就633100，这里上下都没有什么数据，按空格键，写入标题名。然后选中所有文字，copy to executable，如果不报错的话说明这个地址的确是可以写入的。注意这里要单独copy一次，汇编窗口的copy all modifications对这里不起作用。接下来修改代码，把3处5E84FC都改成633100。注意修改第二个地方的时候多出来一行nop，这就要仔细看看是不是占用掉了下一条指令，不过还好，这里是指令变短多了1个字节。修改完之后，Search for->Constant:5E84FC，确认不存在其他地方引用5E84FC了。最后一步：copy to executable->all modifications。点copy all，然后有提示框出来，不要管。再右键s**e file，另起一个名字保存即可。