打补丁问题
软件是飘零验证,壳子是SE,已经手动山寨,但是他的软件编号是动态地址,传输密码可以修改,无法修改动态的这个软件编号地址飘零初始化地址:004CCD1F 55 push ebp下断后可返回版本号等数据
返回版本号地址:3CAFEE4(地址会变动,3??FEE4这地址是不变的)
看了论坛的”魔盾逆向“教程但是里面的dll是没反应的,尝试OD下断,VirtualAllocEx无法下断,VirtualAlloc可以断下,修改源码里面的VirtualAllocEx为VirtualAlloc后也无果
辗转好多次,一直未成功打这个动态地址补丁,望大佬教育。
软件下载地址:https://wwa.lanzoui.com/i4t7lswk1ij
查毒链接:https://s.threatbook.cn/report/file/012a0f4dadbf80c7f9f18dc262784ce7d8b824b82b7d7c341ca25ff8bcd5a1fa/?env=win7_sp1_enx86_office2013
mov dword ptr ss:,0x7B,赋值编号7B改成编号
push ebp ,还原占用的jmp
mov ebp,esp
sub esp,0x34
jmp 004CCD28,jmp跳回去执行代码 大佬来教育你了, 马上就会有另外一个大佬来教育你。 动态地址都是模块的。找到是哪个模块
模块基址+地址尾 或者 特征码定位+偏移 用大白+偏移 专治各种不服 ladybe 发表于 2021-8-20 17:11
用大白+偏移 专治各种不服
能不能稍微具体一点,我是萌新,大白??? Icpower 发表于 2021-8-20 17:11
动态地址都是模块的。找到是哪个模块
模块基址+地址尾 或者 特征码定位+偏移
特征码搜不到,如果软件没有完全运行起来的话是找不到这个地址,下易语言脱壳断点也没法找到,只能在初始化的地方下断,断下来之后去内存里面搜索才能搜到 仰天长啸一口痰 发表于 2021-8-20 17:42
特征码搜不到,如果软件没有完全运行起来的话是找不到这个地址,下易语言脱壳断点也没法找到,只能在初始 ...
就是解码后再定位特征码+偏移呀,这个偏移是固定不变的。你只需要找一个固定解码位置即可。 炮炮 发表于 2021-8-20 17:46
mov dword ptr ss:,0x7B,赋值编号7B改成编号
push ebp ,还原占用的jmp
mov ebp,esp
已经成功了,感谢。 Icpower 发表于 2021-8-20 18:19
就是解码后再定位特征码+偏移呀,这个偏移是固定不变的。你只需要找一个固定解码位置即可。
通过HOOK解决了,没有评分选项,但是还是感谢。
页:
[1]