列举一些Baymax的致命缺陷（杂笔）

我就看看什么缺陷

工具都是一点点完善的，目前有哪个工具是支持堆补丁？XP系统早已弃之，没必要再去支持吧，其他要求或许也只是暂时未支持或者本身就没有再计划当中，这个不能算是致命缺陷吧，针对也不存在吧 说针对也就是被检测 干掉检测就完了 我觉得

校长回复了：

第一个后续会支持；
第二个提到的XP系统的支持，需要找到实例才能做兼容优化；
第三个没必要支持呀；
第四个不支持SDK扩展；
第五个其实大白内部做了对任意地址（任意函数的）部分处理操作。

看看大佬发现！观摩学习！

Rooking 发表于 2024-7-7 01:39
工具都是一点点完善的，目前有哪个工具是支持堆补丁？XP系统早已弃之，没必要再去支持吧，其他要求或许也只 ...

我的看法不一样。

@Rooking

@dujinshanD

1. 关于堆内存的例子：这两个最经典，专门针对Baymax，此工具无法解决：

关于特殊动态地址补丁的问题
https://www.52hb.com/thread-59481-1-1.html
(出处: 吾爱汇编)

打完补丁运行没有效果，求助分析一下原因。
https://www.52hb.com/thread-60641-1-1.html
(出处: 吾爱汇编)

2. 这个工具模拟了硬件断点和int3断点，如果是前者，那么受硬件断点个数限制，弊端也在第一楼提到了

3. 超级Hook在某种程度上能替代大部分VEH Hook的功能，并且不受硬件断点个数的限制，一些不足的是，超级hook一般需要5个字节，也可以用2字节短跳转到5字节之后处理。veh hook依赖寄存器dr占位，无字节；或者一0xcc字节

4. 建议支持SDK扩展/开发，导出一些功能函数以供开发者调用，例如像vmp一样，提供vmprotectsdk.h和vmprotectsdk.lib。如果用vs2019自己编写dll，则引用头文件和库文件，在关键的地方置入sdk标记，例如baymax的反调试，注册机等功能

5. 此处提到的是指ntdll内未导出的函数，请注意与未文档化/已导出函数的区分，如果作者挂钩了未导出函数，并且在该函数的中转流程内模拟syscall，直接调用针对baymax的检测，那就不好说了

感谢分享

让 江小白 来看看帖子里藏了啥好东西~~~

感谢分享   

感谢看看看看

boot 发表于 2024-7-7 11:26
我的看法不一样。

@Rooking

@boot 大佬，做一个软件肯定要考虑的很全面，欢迎您到大白群 《Baymax Patch Tools 交流群》反馈(没留群号因为会违规)！校长最近一直想着更新的问题！