如何把dll劫持补丁数据找出来了?
如何把dll劫持补丁数据找出来了?https://hkyingxiao.lanzouv.com/ivxll2pjq0kd
这种winmm.dll是没有VM,有个vmp壳,不影响查看数据,找不到写入补丁数据,高手帮看看,写入啥补丁数据
{:5_116:} 提供对应的程序? 没程序看不了
简简单单,有手就行,用意念就可以了 boot 发表于 2025-3-4 18:26
提供对应的程序?
这个dll就是补丁,补丁里面内容能看见吗? 这太简单了吧,打开原版的和打过补丁的破解版本的对比一下内存就知道了{:5_116:}
具体操作方法如下:
2、两个程序内存对比(共有两种方法)
第一种方法 → 两个静态程序的内存对比(静态是指程序还没运行起来)
打开两个OD,把原版拉进一个OD,把破解版拉进另一个OD,让两个程序处于暂停状态 (32位进程软件用OD或x32dbg ● 64位进程软件x64dbg)
然后通过打开任务管理器或其他方式 → 查看两个程序的进程ID
〓填写原版进程ID → 打开进程 → 读取原始内存
〓填写破解版进程ID → 打开进程 → 开始对比内存
这样两个“没运行起来”的程序的不同内存地址就对比出来了
第二种方法 → 两个程序“运行后”的内存对比
操作方法:把原版和破解版同时打开
〓填写原版进程ID → 打开进程 → 读取原始内存
〓填写破解版进程ID → 打开进程 → 开始对比内存
这种方法适合“程序运行起来”后才被修改内存地址,比如某些“劫持补丁”修改的数据!
但是→不是所有劫持补丁都是程序运行起来后才改写的,也有的是加载到劫持补丁模块就修改内存了(这种的话用第一种方法就能对比出来了)
第二种方法包含了“第一种方法的不同内存地址”,同时会多出一些自身正常变动的地址,一般“连续相近”的地址都是属于自身正常变动的地址!
通常“不相近的地址”才有可能是被修改的内存地址!可以根据自己情况来进行不同操作方法!
小闹钟 发表于 2025-3-5 11:00
这太简单了吧,打开原版的和打过补丁的破解版本的对比一下内存就知道了
具体操作方法如下:
这个软件地址能给一下吗 之前的分享 链接没了 winmm.dll不是系统二大妈 本帖最后由 小闹钟 于 2025-3-5 13:14 编辑
JuStkK 发表于 2025-3-5 11:22
这个软件地址能给一下吗 之前的分享 链接没了
论坛1.7福利版我也没有保存有,更新1.8后就取消了,但有十几个人下载有,你可以找别人问问看吧{:5_116:} 学编程的闹钟 发表于 2025-3-5 11:40
winmm.dll不是系统二大妈
就是劫持补丁啊,系统劫持补丁啊,就这个dll