关于程序动态地址HOOK解码特征码打补丁_无效问题求助!
本帖最后由 sogbtt 于 2022-3-1 10:57 编辑问题描述:程序应该是有壳子,00401000是软件登陆成功后的入口地址,直接打补丁的话根本搜不到特征码,程序在登陆验证窗口解码后的地址范围好像是在0020000-003FFFFF 这个区间,每次启动程序壳子的基地址都在变化;现在的问题是,使用XH、大白、和我下面附件的drv自写特征码均没办法成功打上补丁,以下是我的操作分析过程;
自我分析: 1、使用大白、XH补丁HOOK不管是getvison还是send函数,都没办法成功打上替换指令补丁,从运行效率上看像是根本没找到补丁或者没有Hook成功;
2、使用自写drv的劫持补丁,HOOK GetVsion函数也没办法打上补丁,具体情况是补丁运行后软件主界面消失,任务管理器cpu占用升高,我判断是补丁打上了但是内存搜索根本没有找到特征码;
3、我已经把论坛可以找到的HOOK补丁都试了个遍,均没有解决问题,期待江湖大哥们帮忙看看,到底是问题出在哪里呢;
问题配图 :
ps:目前确定GetVsion、Send这两个函数都可以断在验证程序解码段
希望可以:各位大哥,我已经熬夜研究了几个晚上,52论坛、汇编论坛,精益论坛各大论坛的相关HOOK补丁我都试了一下,没有解决问题,目前我这个代码是结合了drv劫持和小黑大神的特征码搜索源码,希望各位大哥可以帮我看看怎么修改一下这个补丁源码,才能实现成功补丁呢,特征码和源码我放在下方;{:5_189:}
病毒查杀截图或链接:
https://habo.qq.com/file/showdetail?pk=ADcGYV1rB2EIMFs4U2c%3D
下载链接:
drv劫持源码:https://wwe.lanzouv.com/i0DgG00ti97e #有需要的朋友也可以自取,正儿八经可以劫持下来的drv模块
主程序+特征码文本:https://wwe.lanzouv.com/iOfwm00tg64b
再次感谢各位大哥,希望可以帮忙提供一下可以解决问题的源码案例!十分感谢,先上全部身家
还有一个问题请教,就是关于这种需要补时间ASCII的需要找一段空代码段置入99999后mov eax赋值,那么在这种动态地址情况下又该如何操作定位补时间呢,总不能用特征码定位000000000000然后修改9999999999,这样也没办法定位到底修改到那个地址了呀;
动态地址打补丁没那么麻烦
https://www.52hb.com/thread-54671-1-1.html
(出处: 吾爱汇编论坛)
教程已录 这不是我前天的单子么。。 2509220471 发表于 2022-3-1 12:22
这不是我前天的单子么。。
大哥可以请假你是怎么解决这个问题的吗,另外一个帖子已经搞懂了天盾这边的逻辑;
2509220471 发表于 2022-3-1 14:05
哥 你是怎么打上去补丁的 可以分享一下吗,我研究了好久哦 可以挟持写入啊,没问题啊 jinqike 发表于 2022-3-1 14:54
可以挟持写入啊,没问题啊
大哥 能分享一下源码吗,或者用的是哪个补丁工具呢 APIHOOK.暂停 (“kernel32.dll”, “GetStartupInfoA”)
内存.写字节集 (pid, 进制_十六到十 (“008CD3DA”), 字节集_十六进制到字节集 (“E92D40C6FF9090”)) 男孩子 发表于 2022-3-1 16:25
动态地址打补丁没那么麻烦
https://www.52hb.com/thread-54671-1-1.html
(出处: 吾爱汇编论坛)
老大 那针对需要补时间这块该怎么处理呢,我已经通过偏移定位空代码段补了时间,然后需要在CALL段首补上mov eax,动态地址。 这个动态地址我还不可以一次性转机器码补回去。关于汇编指令转机器码相关我也没有找到有易语言的模块可以使用。大哥有什么方法可以实现嘛