咨询一个打补丁的问题
各位大神我咨询一个问题,我现在在搞一个软件,这个软件的主要功能是写在一个dll中的,这个dllvmp了,所以我就想用打补丁的方式逆向,然后我定位到了我要修改的代码段。但是这段代码段也是在dll中,我打上补丁试了下用补丁找不到内存地址。。下面是我的源码
内存.搜索 (进程ID, 字节集_还原 (“84 C0 74 52 A1 A0 6B D4 00 83 38 00”), address)
内存.写字节集 (进程ID, address , 字节集_还原 (“84 C0 EB 52 A1 A0 6B D4 00 83 38 00”))
就是把74 改成了EB 是一个je改成了jmp
但是实际测试 内存.搜索 啥也没搜索到,在od里搜索84 C0 74 52 A1 A0 6B D4 00 83 38 00是可以定位的,而且只定位1条,求解惑,为什么在od外定位不到
是不是需要偏移啥的?
我也一直纳闷这个问题,dll怎么打补丁,我看到dll加壳直接放弃。。。 DLL劫持时机不对,就是补丁时机不对,而且还是被VM的,不脱壳就想定位取出写字节集基本是无法实现的,就和逆向FZ似的,E盾DLL加VMP基本无解,要先脱壳,但是目前DLL脱壳修复时无法重定向。 很简单,你在OD搜索的时候是全局搜索,也就是说所有模块的内存包括系统的。找到它就会匹配,所以如果你要搜索DLL得指定模块~否则搜索的就只是EXE EXE里面有这条特征码吗?答案很简单~ Hk微笑 发表于 2017-5-27 23:15
DLL劫持时机不对,就是补丁时机不对,而且还是被VM的,不脱壳就想定位取出写字节集基本是无法实现的,就和 ...
好吧,谢谢 我是小白,大神请别见笑哈,弱弱地问下,大白不是可以选择DLL进程吗? 爱阴湿毯 发表于 2017-5-28 09:21
很简单,你在OD搜索的时候是全局搜索,也就是说所有模块的内存包括系统的。找到它就会匹配,所以如果你要 ...
EXE里面有这条特征码吗?没有,特征码在dll里,怎么搞? 补丁是在程序运行前还是运行后?
页:
[1]