打补丁问题

软件是飘零验证，壳子是SE，已经手动山寨，但是他的软件编号是动态地址，传输密码可以修改，无法修改动态的这个软件编号地址
飘零初始化地址：004CCD1F    55              push ebp  下断后可返回版本号等数据
返回版本号地址：3CAFEE4（地址会变动，3??FEE4这地址是不变的）
看了论坛的”魔盾逆向“教程但是里面的dll是没反应的，尝试OD下断，VirtualAllocEx无法下断，VirtualAlloc可以断下，修改源码里面的VirtualAllocEx为VirtualAlloc后也无果
辗转好多次，一直未成功打这个动态地址补丁，望大佬教育。
软件下载地址：https://wwa.lanzoui.com/i4t7lswk1ij
查毒链接：https://s.threatbook.cn/report/file/012a0f4dadbf80c7f9f18dc262784ce7d8b824b82b7d7c341ca25ff8bcd5a1fa/?env=win7_sp1_enx86_office2013

大佬来教育你了， 马上就会有另外一个大佬来教育你。

动态地址都是模块的。找到是哪个模块
模块基址+地址尾 或者 特征码定位+偏移

用大白+偏移 专治各种不服

ladybe 发表于 2021-8-20 17:11
用大白+偏移 专治各种不服

能不能稍微具体一点，我是萌新，大白？？？

Icpower 发表于 2021-8-20 17:11
动态地址都是模块的。找到是哪个模块
模块基址+地址尾 或者 特征码定位+偏移

特征码搜不到，如果软件没有完全运行起来的话是找不到这个地址，下易语言脱壳断点也没法找到，只能在初始化的地方下断，断下来之后去内存里面搜索才能搜到

仰天长啸一口痰 发表于 2021-8-20 17:42
特征码搜不到，如果软件没有完全运行起来的话是找不到这个地址，下易语言脱壳断点也没法找到，只能在初始 ...

就是解码后再定位特征码+偏移呀，这个偏移是固定不变的。你只需要找一个固定解码位置即可。

炮炮 发表于 2021-8-20 17:46
mov dword ptr ss:[esp+0x40],0x7B  ,赋值编号7B改成编号
push ebp ,还原占用的jmp
mov ebp,esp

已经成功了，感谢。

Icpower 发表于 2021-8-20 18:19
就是解码后再定位特征码+偏移呀，这个偏移是固定不变的。你只需要找一个固定解码位置即可。

通过HOOK解决了，没有评分选项，但是还是感谢。