启迪 发表于 2017-10-7 16:57
你现在是什么情况还是没有成功吗 还是要我给具体方案 还是要视频啊 视频 HB少了
我的其实早就成功了主要是我在WIN7 64位这个奇葩系统不能用 才来问的
zhengwuji 发表于 2017-10-7 16:58
我的其实早就成功了主要是我在WIN7 64位这个奇葩系统不能用 才来问的
公司电脑XP的我回家去W7看看吧
启迪 发表于 2017-10-7 17:15
公司电脑XP的我回家去W7看看吧
好的 真的是麻烦你了 谢谢你了 顺便问一下 你给的 测试哪个补丁你是怎么弄的
启迪 发表于 2017-10-7 17:23
工具包里面有
谢谢!同志们!thank you very much !
zhengwuji 发表于 2017-10-7 17:27
谢谢!同志们!thank you very much !
对了 你那个HOOK位置是怎么找的能不能教我 这样我下次自己找HOOK地址
本帖最后由 youxiaxy 于 2017-10-7 18:57 编辑
直接撸个 一体化的,hook了 程序的 getmodulehandleA. 你试试 直接解压后打开就行。
youxiaxy 发表于 2017-10-7 18:55
直接撸个 一体化的,hook了 程序的 getmodulehandleA. 你试试 直接解压后打开就行。
我想问一下 你这个一体化是怎么弄 ! 还有HOOK API点 你说怎么找的?
youxiaxy 发表于 2017-10-7 18:55
直接撸个 一体化的,hook了 程序的 getmodulehandleA. 你试试 直接解压后打开就行。
我现在主要的疑问点是HOOK API你们是怎么找的 不会是一个一个去试吧!还有你这个一体化是怎么弄的!告诉我吧!
zhengwuji 发表于 2017-10-7 18:58
我现在主要的疑问点是HOOK API你们是怎么找的 不会是一个一个去试吧!还有你这个一体化是怎么弄的!告诉 ...
46 层 附件 上传上去了。hook 点。一般来说 每一个模块 初始化都会调用 getmodulehandle 。直接选这个就行了。一体化原理就是 吧exe写到内存。运行时 释放出来。创建进程--》 hook 掉 API-》等待进程完成-》删除文件--》结束
被补丁的文件 被HOOKGetmodulehandle ,当 SE解密所有代码 并跳入真实 的 OEP之后, 就会去调用 getmodulehandle. 从而触发修改函数,由于 文件是加壳的 所以不需要修改内存权限。可以直接写入
youxiaxy 发表于 2017-10-7 19:06
46 层 附件 上传上去了。hook 点。一般来说 每一个模块 初始化都会调用 getmodulehandle 。直接选这个就 ...
那你是用什么软件把exe写进内存?还有你kernel32.dll HOOKGetmodulehandle 我用PYG试了一下无效,是不是我下错点了 ?