vmp动态打补丁时机问题
本帖最后由 q2533714 于 2013-1-23 20:44 编辑最近看到好多人都问vmp动态大补丁的时机问题,其实这个很好想的
延时为10,反复测试打补丁的地址数据是否变化了就行了
如果不懂,请继续看
=====================
正常的壳子程序原先的代码段会被空出来的 刚装载后只有
0045F65B 0000 ADD BYTE PTR DS:,AL
0045F65D 0000 ADD BYTE PTR DS:,AL
0045F65F 0000 ADD BYTE PTR DS:,AL
0045F661 0000 ADD BYTE PTR DS:,AL
0045F663 0000 ADD BYTE PTR DS:,AL
0045F665 0000 ADD BYTE PTR DS:,AL
0045F667 0000 ADD BYTE PTR DS:,AL
0045F669 0000 ADD BYTE PTR DS:,AL
0045F66B 0000 ADD BYTE PTR DS:,AL
这样的代码
只有解码以后才会变化就这么简单
另外比较可靠一点的方法是hook 修改程序启动优先调用的几个函数
等待解码后打补丁即可 这个文章很有深度啊...研究 不错有点深度 请问楼主壳启动的时候有内存校验怎么办。校验过了然后程序也跑飞了,过了代码修改时间。请问怎么解决 点评
q2533714呵呵 我只是不断去访问一下特定的地址 没做修改 你说内存校验会检测到吗 另外vmp的内存校验基本都是在vm段内的对被vm的代码进行的发表于 2013-1-23 22:34
-----------------------------------------------------------------------------------
检测只在VM段?
为什么我在Push窗口都被检测了 ,这个地方是没有被VM的,求解...
本帖最后由 q2533714 于 2013-1-24 18:16 编辑
a13686593572 发表于 2013-1-24 01:16 static/image/common/back.gif
点评
q2533714呵呵 我只是不断去访问一下特定的地址 没做修改 你说内存校验会检测到吗 另外vmp的内存校 ...
呵呵 我说的是大多数 vmp的壳子内存校验挺强悍 另外现在的作者基本上都开始sdk了 难度陡增我还是建议找准时机 hook 来 hook去
是怎么hook呀,我是没看明白,请大神能给个详细事例最好了 诶,代码都看不懂不谈测试了
页:
[1]
2