关于程序动态地址HOOK解码特征码打补丁_无效问题求助！

问题描述：程序应该是有壳子，00401000是软件登陆成功后的入口地址，直接打补丁的话根本搜不到特征码，程序在登陆验证窗口解码后的地址范围好像是在0020000-003FFFFF 这个区间，每次启动程序壳子的基地址都在变化；现在的问题是，使用XH、大白、和我下面附件的drv自写特征码均没办法成功打上补丁，以下是我的操作分析过程；
自我分析： 1、使用大白、XH补丁HOOK不管是getvison还是send函数，都没办法成功打上替换指令补丁，从运行效率上看像是根本没找到补丁或者没有Hook成功；
2、使用自写drv的劫持补丁，HOOK GetVsion函数也没办法打上补丁，具体情况是补丁运行后软件主界面消失，任务管理器cpu占用升高，我判断是补丁打上了但是内存搜索根本没有找到特征码；
3、我已经把论坛可以找到的HOOK补丁都试了个遍，均没有解决问题，期待江湖大哥们帮忙看看，到底是问题出在哪里呢；
问题配图 ：
ps:目前确定GetVsion、Send这两个函数都可以断在验证程序解码段

希望可以：各位大哥，我已经熬夜研究了几个晚上，52论坛、汇编论坛，精益论坛各大论坛的相关HOOK补丁我都试了一下，没有解决问题，目前我这个代码是结合了drv劫持和小黑大神的特征码搜索源码，希望各位大哥可以帮我看看怎么修改一下这个补丁源码，才能实现成功补丁呢，特征码和源码我放在下方；


病毒查杀截图或链接：
https://habo.qq.com/file/showdetail?pk=ADcGYV1rB2EIMFs4U2c%3D
下载链接：
drv劫持源码：https://wwe.lanzouv.com/i0DgG00ti97e      #有需要的朋友也可以自取，正儿八经可以劫持下来的drv模块
主程序+特征码文本：https://wwe.lanzouv.com/iOfwm00tg64b


再次感谢各位大哥，希望可以帮忙提供一下可以解决问题的源码案例！十分感谢，先上全部身家
还有一个问题请教，就是关于这种需要补时间ASCII的需要找一段空代码段置入99999后mov eax赋值，那么在这种动态地址情况下又该如何操作定位补时间呢，总不能用特征码定位000000000000然后修改9999999999，这样也没办法定位到底修改到那个地址了呀；

这不是我前天的单子么。。

2509220471 发表于 2022-3-1 12:22
这不是我前天的单子么。。

大哥可以请假你是怎么解决这个问题的吗，另外一个帖子已经搞懂了天盾这边的逻辑；

2509220471 发表于 2022-3-1 14:05

哥 你是怎么打上去补丁的 可以分享一下吗，我研究了好久哦

可以挟持写入啊，没问题啊

jinqike 发表于 2022-3-1 14:54
可以挟持写入啊，没问题啊

大哥 能分享一下源码吗，或者用的是哪个补丁工具呢

APIHOOK.暂停 (“kernel32.dll”, “GetStartupInfoA”)
内存.写字节集 (pid, 进制_十六到十 (“008CD3DA”), 字节集_十六进制到字节集 (“E92D40C6FF9090”))

男孩子 发表于 2022-3-1 16:25
动态地址打补丁没那么麻烦
https://www.52hb.com/thread-54671-1-1.html
(出处: 吾爱汇编论坛)

老大 那针对需要补时间这块该怎么处理呢，我已经通过偏移定位空代码段补了时间，然后需要在CALL段首补上mov eax,动态地址。 这个动态地址我还不可以一次性转机器码补回去。关于汇编指令转机器码相关我也没有找到有易语言的模块可以使用。大哥有什么方法可以实现嘛