我就看看什么缺陷
工具都是一点点完善的,目前有哪个工具是支持堆补丁?XP系统早已弃之,没必要再去支持吧,其他要求或许也只是暂时未支持或者本身就没有再计划当中,这个不能算是致命缺陷吧,针对也不存在吧{:5_121:} 说针对也就是被检测 干掉检测就完了 我觉得
校长回复了:
第一个后续会支持;
第二个提到的XP系统的支持,需要找到实例才能做兼容优化;
第三个没必要支持呀;
第四个不支持SDK扩展;
第五个其实大白内部做了对任意地址(任意函数的)部分处理操作。
看看大佬发现!观摩学习!
Rooking 发表于 2024-7-7 01:39
工具都是一点点完善的,目前有哪个工具是支持堆补丁?XP系统早已弃之,没必要再去支持吧,其他要求或许也只 ...
我的看法不一样。{:5_121:}
@Rooking
@dujinshanD
1. 关于堆内存的例子:这两个最经典,专门针对Baymax,此工具无法解决:
关于特殊动态地址补丁的问题
https://www.52hb.com/thread-59481-1-1.html
(出处: 吾爱汇编)
打完补丁运行没有效果,求助分析一下原因。
https://www.52hb.com/thread-60641-1-1.html
(出处: 吾爱汇编)
2. 这个工具模拟了硬件断点和int3断点,如果是前者,那么受硬件断点个数限制,弊端也在第一楼提到了
3. 超级Hook在某种程度上能替代大部分VEH Hook的功能,并且不受硬件断点个数的限制,一些不足的是,超级hook一般需要5个字节,也可以用2字节短跳转到5字节之后处理。veh hook依赖寄存器dr占位,无字节;或者一0xcc字节
4. 建议支持SDK扩展/开发,导出一些功能函数以供开发者调用,例如像vmp一样,提供vmprotectsdk.h和vmprotectsdk.lib。如果用vs2019自己编写dll,则引用头文件和库文件,在关键的地方置入sdk标记,例如baymax的反调试,注册机等功能
5. 此处提到的是指ntdll内未导出的函数,请注意与未文档化/已导出函数的区分,如果作者挂钩了未导出函数,并且在该函数的中转流程内模拟syscall,直接调用针对baymax的检测,那就不好说了
感谢分享
让 江小白 来看看帖子里藏了啥好东西~~~
感谢分享
感谢看看看看
boot 发表于 2024-7-7 11:26
我的看法不一样。
@Rooking
@boot 大佬,做一个软件肯定要考虑的很全面,欢迎您到大白群 《Baymax Patch Tools 交流群》反馈(没留群号因为会违规)!校长最近一直想着更新的问题!