打补丁问题

仰天长啸一口痰 · 发表于 2021-8-20 16:02

软件是飘零验证，壳子是SE，已经手动山寨，但是他的软件编号是动态地址，传输密码可以修改，无法修改动态的这个软件编号地址
飘零初始化地址：004CCD1F 55 push ebp 下断后可返回版本号等数据
返回版本号地址：3CAFEE4（地址会变动，3??FEE4这地址是不变的） QQ截图20210820155058.png

看了论坛的”魔盾逆向“教程但是里面的dll是没反应的，尝试OD下断，VirtualAllocEx无法下断，VirtualAlloc可以断下，修改源码里面的VirtualAllocEx为VirtualAlloc后也无果
辗转好多次，一直未成功打这个动态地址补丁，望大佬教育。
软件下载地址：https://wwa.lanzoui.com/i4t7lswk1ij
查毒链接：https://s.threatbook.cn/report/file/012a0f4dadbf80c7f9f18dc262784ce7d8b824b82b7d7c341ca25ff8bcd5a1fa/?env=win7_sp1_enx86_office2013

炮炮 · 发表于 2021-8-20 16:02

最佳答案本应属于楼主私有，因此限制查看

您还有0次查看次数，点此查看答案

点此购买查看次数
也可以兑换VIP特权或加入解密专家，每日可免费查看5次最佳答案！

djj1076185529 · 发表于 2021-8-20 16:28

大佬来教育你了，马上就会有另外一个大佬来教育你。

Icpower · 发表于 2021-8-20 17:11

动态地址都是模块的。找到是哪个模块
模块基址+地址尾或者特征码定位+偏移

ladybe · 发表于 2021-8-20 17:11

用大白+偏移专治各种不服

仰天长啸一口痰 · 发表于 2021-8-20 17:41

ladybe 发表于 2021-8-20 17:11
用大白+偏移专治各种不服

能不能稍微具体一点，我是萌新，大白？？？

仰天长啸一口痰 · 发表于 2021-8-20 17:42

Icpower 发表于 2021-8-20 17:11
动态地址都是模块的。找到是哪个模块
模块基址+地址尾或者特征码定位+偏移

特征码搜不到，如果软件没有完全运行起来的话是找不到这个地址，下易语言脱壳断点也没法找到，只能在初始化的地方下断，断下来之后去内存里面搜索才能搜到

Icpower · 发表于 2021-8-20 18:19

仰天长啸一口痰发表于 2021-8-20 17:42
特征码搜不到，如果软件没有完全运行起来的话是找不到这个地址，下易语言脱壳断点也没法找到，只能在初始 ...

就是解码后再定位特征码+偏移呀，这个偏移是固定不变的。你只需要找一个固定解码位置即可。

仰天长啸一口痰 · 发表于 2021-8-20 18:23

炮炮发表于 2021-8-20 17:46
mov dword ptr ss:[esp+0x40],0x7B ,赋值编号7B改成编号
push ebp ,还原占用的jmp
mov ebp,esp

已经成功了，感谢。

仰天长啸一口痰 · 发表于 2021-8-20 18:25

Icpower 发表于 2021-8-20 18:19
就是解码后再定位特征码+偏移呀，这个偏移是固定不变的。你只需要找一个固定解码位置即可。

通过HOOK解决了，没有评分选项，但是还是感谢。

		自动登录	找回密码
密码			立即注册