一些关于拼字与ROP的疑问

1，使用4D 4E 4F
变量4C 4D 4E 4F与历史记录有重叠，4C的开头是历史记录的开头
历史记录的格式是
格式区3位，结果区10或20位，然后公式区，最后23
很明显，4C与历史记录的公式区不重叠，那么，我们就可以用4D 4E 4F适当赋值来改变历史记录的公式区，即可刷出不可刷字符

2，翻ROM翻的

3，ROP，面向返回编程，原理是正常的函数，调用子函数时，将会先PUSH LR，将正常的函数要执行的下一项指令的地址LR，压入栈中，然后执行指令，最后POP PC,将LR弹出到PC也就是执行的指令的地址，PC重新回到那个正常的函数上面去。当我们想办法运行一个没有PUSH LR的函数，那么最后POP PC的地方，就是一个我们可以自定义的地址,这样就可以劫持PC，从而达到一条指令接着一条指令运行的效果。拼字其实也是ROP的一种。

4，北冥表是一个VerC和VerF的拼字常用地址的一览表。

1.@（4F）=1. xx xx xx xx xx yx xx ×10^yy：
@（4E）=1. xx xx xx xx xx yx xx ×10^yy：
@（4D）=1. 0000 xx xx xx yx xx ×10^yy
可刷出22个，yy处不能含十六进制字符，yx处<9A，如果不需要刷满22个，则直接在后面一个xx写成23即可终止刷出，如果遵守了格式，而16进制还刷不出来，可以将前面的1.换成A.。
[991CNX VerC] rop内存编辑器 这个里面还有一个能刷更多字符的方法，能刷38个。
当字符超过38个的时候，可以利用19即框特性让光标跳到缓冲区，刷出剩余的可刷字符或者复制全输入区字符。当字符过多而使用缓冲区操作过于繁杂时，用strcpy逐部分将字符先塞进内存里，然后再用strcpy把内存里的字符再拷贝回输入区
2.最开始的时候确实是要试，以及经验推算。找全了提取ROM的地址之后把ROM提取出来反编译，就自由了。

3，pop pc把pc设为一个地址，然后这个地址运行完指令又运行到pop pc，如此循环往复
4.一些常用的地址表，主要是拼字相关