LYQingYe 发表于 2016-8-21 20:18

求指教一个补丁工具问题

类似,XH的补丁,如果被 path的程序没加壳,被path后完全可以用 loadpe Dump 下来,然后 file cmp 找出补丁数据,有没有其它 防dump 的思路,求支招

叶良辰和赵总 发表于 2016-8-21 20:53

LYQingYe 发表于 2016-8-21 20:58

叶良辰和赵总 发表于 2016-8-21 20:53
不得不说你又提供了一个我找补丁数据的好思路,,,不过我感觉如果是在目标进程中申请的内存应该Dump不下来吧 ...

申请的不会被dump , 但是 你最终的目的还是要修改被path程序的代码,还是会被发现,

沫颜 发表于 2016-8-21 21:11

LYQingYe 发表于 2016-8-21 20:58
申请的不会被dump , 但是 你最终的目的还是要修改被path程序的代码,还是会被发现,

试试修改内存属性行不行-.-

虚无空幻 发表于 2016-8-21 21:18

沫颜 发表于 2016-8-21 21:11
试试修改内存属性行不行-.-

.........绝对不行

LYQingYe 发表于 2016-8-21 21:21

沫颜 发表于 2016-8-21 21:11
试试修改内存属性行不行-.-

{:6_211:} 程序还得跑起来啊

沫颜 发表于 2016-8-21 21:39

LYQingYe 发表于 2016-8-21 21:21
程序还得跑起来啊

上次遇到一个FZ都读不到内存,不知道加了什么保护

LYQingYe 发表于 2016-8-21 22:02

沫颜 发表于 2016-8-21 21:39
上次遇到一个FZ都读不到内存,不知道加了什么保护

加载驱动的吧

虚无空幻 发表于 2016-8-21 22:36

楼主这个方法,几年前我逆向天龙呼啦圈的时候这么干过,谁叫自己能力不强......只能想歪门邪道
如果程序真的有价值,那只能修改保存,再加壳
其余的出了驱动,想不出什么招来.
比如说内存补丁吧,我所知道的,无论你是远程补丁,还是dll,都得用两个函数
virualprotect
writeprocessmemory
这两个函数不是常用函数,只有特殊要求的程序才使用
我完全可以本地断在最深层的函数,我看你怎么改.....
也或者动态加密代码段...

夏小沫 发表于 2016-8-21 22:41

表示没理解、、
页: [1] 2 3
查看完整版本: 求指教一个补丁工具问题