http://bbs.chinaunix.net/viewthread.php?tid=749848

相信大家一定使用过Iris? The Network Traffic Analyzer，不大但功能挺强。不过有一个问题，在使用Filter的时候，如果想输入IP地址，发现在中文Windows下只能输入2位，譬如 127.0.0.1就无法输入127，而只能借助于The Customiser等工具。经过查看代码问题在comctl32.dll中，IRIS调用其中的一个SysIPAddress32控件。

在comctl32.dll中，有一个SysIPAddress32的控件，但是在 
中文Windows下，其中IP地址不能输入3位，检查原因后发现 
是Edit控件在其ClientRect太小的时候，不能输入更多的字 
符，如果想输入更多的字符可以设置其Style为ES_AUTOHSCROLL。

经检查其代码为： 
7738E194  |>;  8B4D 14      /MOV    ECX, [ARG.4] 
7738E197  |.  8066 08 00    |AND    BYTE PTR [ESI+8], 0 
7738E19B  |.  804E 09 FF    |OR      BYTE PTR [ESI+9], 0FF 
7738E19F  |.  33C0          |XOR    EAX, EAX 
7738E1A1  |.  50            |PUSH    EAX                            ; /lParam = 00004AA6 
7738E1A2  |.  FF71 04      |PUSH    DWORD PTR [ECX+4]              ; |hInst 
7738E1A5  |.  FF75 0C      |PUSH    [ARG.2]                        ; |hMenu = NULL 
7738E1A8  |.  FF75 08      |PUSH    [ARG.1]                        ; |hParent = 0050B8FC 
7738E1AB  |.  6A 64        |PUSH    64                              ; |Height = 64 (100.) 
7738E1AD  |.  6A 64        |PUSH    64                              ; |Width = 64 (100.) 
7738E1AF  |.  6A 0A        |PUSH    0A                              ; |Y = A (10.) 
7738E1B1  |.  50            |PUSH    EAX                            ; |X = 4AA6 (19110.) 
7738E1B2      68 01000040  PUSH    40000001 
7738E1B7  |.  50            |PUSH    EAX                            ; |WindowName = 00004AA6 ??? 
7738E1B8  |.  68 74413A77  |PUSH    COMCTL32.773A4174              ; |Class = "Edit" 
7738E1BD  |.  50            |PUSH    EAX                            ; |ExtStyle = WS_EX_NOPARENTNOTIFY|WS_EX_TRANSPARENT|WS_EX_TOOLWINDOW|WS_EX_CLIENTEDGE|WS_EX_LEFTSCROLLBAR|802 
7738E1BE  |.  FF15 B8133477 |CALL    [<&USER32.CreateWindowExW>;]    ; \CreateWindowExW 
7738E1C4  |.  FF75 10      |PUSH    [ARG.3] 
7738E1C7  |.  8906          |MOV    [ESI], EAX

修改7738E1B2的Style为40000081后即可。

--------------------------------------------------------------------------------
相关信息:

IRIS中IP地址不能输入3位数字的问题 (2千字)(slangmgh 8-19 12:47 阅读 69) 
应该是bug，最新的4.06b4没有这个问题... (空)(dRag0nMa 8-19 14:54 阅读 25) 
我的comctl32.dll的版本为5.82.2600.0(英文XP没打补丁)(空) (空)(slangmgh 8-19 15:08 阅读 22)

--------------------------------------------------------------------------------

koalaz said: --->

赞，每次我都是先把要用的IP放进地址簿，再拉到规则里，从来没有研究
过原因，这位兄弟好强，呵呵。

wwashington add: --->

1. 在开始菜单输入 cmd 进入命令行，把系统目录(%SystemRoot%\system32)
里的 comctl32.dll 拷出来，同时在工作目录下，把未修改的 comctl32.dll
做一个备份，文件名叫做 comctl32.old。

2. 用 UltraEdit 或 WinHex 打开工作目录的 comctl32.dll，搜索HEX字串
68 01000040
改为下面这个，其中 01 变为 81 的含义是 Edit 控件的 ES_AUTOHSCROLL。
68 81000040

补充说明：WinHex 的 Find Hex 功能不支持空格，字串必须是6801000040

3. 如果你想修改完 dll 后文件属性（例如修改时间）不变，那么最好不要
用 UltraEdit 或 WinHex，
建议用 hiew(是个软件，呼呼，http://www.crsky.com/soft/2784.html Hiew v7.10 完全版 可以下载到)。
开始菜单输入 cmd 进入命令行，
首先 chcp 437，
然后 hiew32 comctl32.dll，
按 F4 选 Hex，按 F7 搜索
68 01000040

再按 F4 选 Decode，这时你会看到类似下面这样的信息，用箭头上下移动。

.5D1C4AD2: 50                           push        eax
.5D1C4AD3: 6801000040              push        040000001
.5D1C4AD8: 50                           push        eax
.5D1C4AD9: 6894D0195D              push        05D19D094  ---↑ (1)
.5D1C4ADE: 50                           push        eax
.5D1C4ADF: FF158814175D           call          CreateWindowExW ;USER32

定位到 6801000040 的 01，按 F3 进 Edit，改成 81 后按 F9 做 Update。

.5D1C4AD3: 6881000040              push        040000081

补充说明：chcp 936 用中文代码页，chcp 437 用英文代码页，防止乱码。

4. 如果您本来就熟悉破解工具(例如 Ollydbg)，那就可以分析得更仔细了。
首先当然是运行汉化版 Ollydbg，打开 comctl32.dll，允许 LoadDll.exe。

在 CPU 主要线程窗口里点鼠标右键“搜索-->二进制字符”或者按Ctrl-B。
6801000040
在 CPU 主要线程窗口里点鼠标右键“二进制-->编辑”或者直接按Ctrl-E。
6881000040

在 CPU 窗口中点鼠标右键，选择“复制到可执行文件-->所有改动”，然
后在文件窗口里选“保存文件”，并且另起一个文件名叫comctl32n.dll。

最后再改文件名就可以了，可以在 Explorer 里改，也可以进命令行修改。
move comctl32.dll comctl32.old
move comctl32n.dll comctl32.dll

5. 现在确认一下文件是否修改正确，如果正确，那么你可以看到下列信息。

F:\0Day\SysInfo\comctl32>fc /b comctl32.old comctl32.dll
正在比较文件 comctl32.old 和 COMCTL32.DLL
00053ED4: 01 81

6. 把文件拷贝到系统，然后重启。请注意不能直接覆盖文件，系统有保护。
cd /d F:\0Day\SysInfo\comctl32
move %SystemRoot%\system32\comctl32.dll %SystemRoot%\system32\comctl32.old
copy /y comctl32.dll %SystemRoot%\system32
cd /d %SystemRoot%\system32
fc /b comctl32.old comctl32.dll

刚开始文件是不同的，但是大约过了十秒钟，再运行 fc /b 就发现怪事了。
D:\WINDOWS\system32>fc /b comctl32.old comctl32.dll
正在比较文件 comctl32.old 和 COMCTL32.DLL
FC: 找不到相异处

所以我们推断此文件是受到系统的保护，在 Explorer 窗口“工具-->文件
夹选项-->”里，反选“隐藏受保护的操作系统文件”以及“隐藏已知文件
类型的扩展名”，在“隐藏文件和文件夹”里有两个子选项，一定要选中
下面那个“显示所有文件和文件夹”。

到 Windows 的安装目录搜索comctl32，现在你总算发现真正的幕后黑手了。
D:\WINDOWS\system32\dllcache。备注：我的 WinXp 装在 D 盘，C 盘只
拿来做启动以及跟 Unix 交换文件，类似于 Unix/BSD/Linux 的 Boot 区。
只要我们对症下药，就可以更新文件了。

REM {注意：工作路径 F:\0Day\SysInfo\comctl32，请大家按实际情况改}
cd /d F:\0Day\SysInfo\comctl32

REM {注意：备份 %SystemRoot%\system32\dllcache\ 的 .old 用 copy }
copy /y %SystemRoot%\system32\dllcache\comctl32.dll %SystemRoot%\system32\dllcache\comctl32.old
copy /y comctl32.dll %SystemRoot%\system32\dllcache

move %SystemRoot%\system32\comctl32.dll %SystemRoot%\system32\comctl32.old
copy /y comctl32.dll %SystemRoot%\system32

cd /d %SystemRoot%\system32\dllcache
fc /b comctl32.old comctl32.dll
cd /d %SystemRoot%\system32
fc /b comctl32.old comctl32.dll

期间会弹出 Windows 文件保护的对话框，请选“取消”，系统会继续追问
你是否确实保留这些不可识别的文件版本，请选“是”。如果系统继续弹出
对话框，按上面的方法回答。通常一到两次左右就好了。

现在验收一下替换文件的成果啦，请注意两个目录的文件都变了。如果第一
次没能做出正确的效果，那么就从拷贝文件开始按流程再做一次。如果系统
文件已经被菜鸟级的同胞弄乱了，那就按本文最后的办法来恢复。

D:\WINDOWS\system32>cd /d %SystemRoot%\system32\dllcache

D:\WINDOWS\system32\dllcache>fc /b comctl32.old comctl32.dll
正在比较文件 comctl32.old 和 COMCTL32.DLL
00053ED4: 01 81

D:\WINDOWS\system32\dllcache>cd /d %SystemRoot%\system32

D:\WINDOWS\system32>fc /b comctl32.old comctl32.dll
正在比较文件 comctl32.old 和 COMCTL32.DLL
00053ED4: 01 81

现在重新启动系统，然后就一切正常了。如果您认为上面的步骤烦琐，也
可以先重启系统进入安全模式，然后替换上述两个目录里的文件，最后再
重启系统用正常启动。个人认为电脑重启两次更加浪费时间。

说明：如果要恢复原来的 WinXp 系统文件，只要把 comctl32.old 改名为
comctl32.dll 再按上面的步骤做就可以了，恢复原始文件没有告警。

补充：网络扫描仪 Iris 存在这个毛病，网络防火墙 LooknStop 也同样是
设计失误，在中文系统下只支持两位IP地址的输入。这两个工具凭良心说
功能相当优秀，只要按上面的办法改好了，两个都可以正常使用。

CHCP 437 （将当前代码页和界面语言切换为英文）
CHCP 936 （将当前代码页和界面语言切换为简体中文）
CHCP 950 （将当前代码页和界面语言切换为繁体中文）