新思路爆破“自杀式”暗桩袭击
我昨天半夜刚想到的:让我们虚拟机里先搞第一个实验找到 XXX.exe
用x32dbg打开
找到vip的字符串调用处Ctrl-来到push YYYYYYYY处
开改mov al,1
ret
Ctrl+P 保存补丁
接着,让我们欣赏暗桩 干掉notepad qq chrome 等效果吧
一移动光标到 XXX.exe的条上,就触发这个效果
接下来,让我们尝试给主程序XXX.exe也来个这样的手术吧。
每次修改多处,虽然达到了爆破的效果,但也是伤痕累累,我们要做的是微创手术,而不是轰炸~~
所以,我们换个思路,如何做到最小的修改,最高的收益呢?
1) 刚才修改的那处是全局注册标志
2)接下来要解决的是暗桩问题 ,把要结束的 a.exe b.exe c.exe 。。。。几百个文件名都修改掉吗? 效率低下不说。
而且万一还有呢? 所以,我们要从功能函数上入手,把这个功能K掉,岂不世界太平?
所以Ctrl+N, search ,process ,果然找到了一个非常可疑的函数,菜单中转到汇编
修改并保存后,果然补丁成功了,我们用新的方法解决问题了。
所以说找对功能函数和触发点才是关键中的关键。 fanvalen 发表于 2020-3-14 14:26
大佬你鼠标是草莓,有一颗少女心哦
@fanvalen
还有新鲜词汇不?
逛论坛的都知道,咱这个是招牌。{:301_997:} 自杀式还行 大法王师傅收下我吧{:1_887:}我要拜师 牛啊。。。 厉害啊 学习学习 果然是牛人,学习了 大佬你鼠标是草莓,有一颗少女心哦 还是看不明白{:1_907:}
页:
[1]
2