用内存写入监视器查看patch程序的地址:找关键跳转
本帖最后由 wangzhe311 于 2012-11-23 12:45 编辑用内存写入监视器查看patch程序的地址:找关键跳转
网上有好多patch工具,但是有时候我们更想知道他们破解的哪里,软件破解的关键在哪里,这里我们就用到这样一个工具《内存写入监视器 V2.0》,如图:
这个工具可以用来监视patch.exe更改了原程序的哪个地方。就拿原先我制作的一个patch.exe来做例子吧。上图:
华夏神笔支票打印软件.exe为原程序,PATCH_wangzhe311.exe为patch工具,
直接运行原程序:
运行patch.exe,则如图:
则注册并运行。
好了,我们下面想找出patch.exe对原程序更改的那个地方。拿出内存写入监视器 V2.0并启动,在进行路径那里选择我们要监视的patch.exe工具,并开始监控。程序会自动运行patch.exe工具。
Patch.exe修改程序数据的情况则一目了然了。
写入地址:004c2617 写入:85
我们拿OD看一下,程序的004c2617 处。
004C2616 . /0F84 490A0000 je 华夏神笔.004C3065 此为关键跳,程序将84改为了85
004C261C . |C745 84 DC114>mov dword ptr ss:,华夏神笔.004211DC;UNICODE "C:\WINDOWS\system\testfile1.txt" 记录试用信息。
004C2623 . |C785 7CFFFFFF>mov dword ptr ss:,8
004C262D . |8D95 7CFFFFFF lea edx,dword ptr ss:
明了了,我们找了好久找不到的关键就在眼前了。 嗯这个不错 不过有些有防记录的只能 悲剧了 只放几个图就原创了·!!! 貌似是很犀利的样子 樱花补丁各种无压力 3765999 发表于 2012-11-23 13:04 static/image/common/back.gif
只放几个图就原创了·!!!
自己写的不都是原创么? 田田圏 发表于 2012-11-23 12:57 static/image/common/back.gif
感谢楼主分享 内存监视器 也 放一下把 3Q
工具包中都有的。 呵呵,还是很认真的说 不错~~~顶!~~~~