求一个逆向内存补丁的思路
本帖最后由 bestchao 于 2024-4-13 03:16 编辑已知内存补丁可以使软件正常运行(E语言写的内存补丁)
如何知道内存补丁修改的位置和数据?(自己破不掉这个软件 想学习方法)
自己的方法测试不行~
1.载入内存补丁文件下断WriteProcessMemory (想看看程序写入地址和内容)
004654D5 >55 PUSH EBP
004654D6 8BEC MOV EBP,ESP
004654D8 6A FF PUSH -0x1
004654DA 68 60CE4A00 PUSH 0x4ACE60
004654DF 68 9CA44600 PUSH 0x46A49C
004654E4 64:A1 00000000MOV EAX,DWORD PTR FS:
004654EA 50 PUSH EAX
004654EB 64:8925 0000000>MOV DWORD PTR FS:,ESP
004654F2 83EC 58 SUB ESP,0x58
004654F5 53 PUSH EBX
004654F6 56 PUSH ESI
004654F7 57 PUSH EDI
004654F8 8965 E8 MOV DWORD PTR SS:,ESP
004654FB FF15 60534800 CALL DWORD PTR DS: ; kernel32.GetVersion
00465501 33D2 XOR EDX,EDX
00465503 8AD4 MOV DL,AH
00465505 8915 20AA4E00 MOV DWORD PTR DS:,EDX
0046550B 8BC8 MOV ECX,EAX
0046550D 81E1 FF000000 AND ECX,0xFF
00465513 890D 1CAA4E00 MOV DWORD PTR DS:,ECX
https://pic.imgdb.cn/item/6619855168eb9357133c4482.png
https://pic.imgdb.cn/item/6619857668eb9357133c6809.png
https://pic.imgdb.cn/item/661985b068eb9357133c9caa.png
结果 无法拦截。。。附加一样 请给给方法或思路。。。
补丁下载链接
https://xgkj2020.lanzn.com/iu9EJ1uv783g
为防止求破解主程序就不放了。。。
窗口类名https://pic.imgdb.cn/item/6619887f68eb9357133f0b3a.png “欢迎使用”
{:301_1008:}这是易语言的网截,拦截修改网络请求用的, WriteProcessMemory 肯定是无效的,因为根本不用。这补丁多半就是进行了IP转向或者是修改了请求/响应的内容 可以试试 Hook WriteProcessMemory API 调用,然后记录修改点。 本帖最后由 bestchao 于 2024-4-13 02:55 编辑
爱飞的猫 发表于 2024-4-13 02:00
可以试试 Hook WriteProcessMemory API 调用,然后记录修改点。
下断 WriteProcessMemory 无法拦截 附加 运行都不行
难道不是EXE执行的 是释放了DLL?
https://pic.imgdb.cn/item/6619837c68eb9357133983ae.png 驱动读者的话 你在这下段是没用的 本帖最后由 老道 于 2024-4-13 09:57 编辑
如果是内存补丁,最简单的办法 运行起来,dump .text段 带补丁和不带的 分别提取 对比就行了。 Aurelion 发表于 2024-4-13 01:46
这是易语言的网截,拦截修改网络请求用的, WriteProcessMemory 肯定是无效的,因为根本不用 ...
网截补丁有逆向思路吗?20年没碰了啥都不懂了😓 bestchao 发表于 2024-4-13 10:07
网截补丁有逆向思路吗?20年没碰了啥都不懂了😓
直接查看网络数据通讯的API,看看有没有被hook。 solly 发表于 2024-4-13 10:57
直接查看网络数据通讯的API,看看有没有被hook。
好的,试试去,感谢。 solly 发表于 2024-4-13 10:57
直接查看网络数据通讯的API,看看有没有被hook。
一样拦截不到,应该还是内存释放dll了?
页:
[1]
2