如何打vm补丁？

朱朱你堕落了

如下：

[C++] 纯文本查看 复制代码

#include "stdafx.h"
#include "windows.h"

int add(int a, int b)
{
	
	return a + b;
}

int main(int argc, char* argv[])
{
	MessageBox(NULL, "www.52pojie.cn", "test", 0x40);
	int sum = add(1, 2);
	printf("%d\n", sum);
	printf("Hello World!\n");
	getchar();
	return 0;
}

把main函数里面的代码VM，用的很老的版本1.09VM的，如果我想把弹出的www.52pojie.cn修改为[url]www.baidu.com.[/url]
main函数VM开始地址：00401010   $  68 EBBD4000   push test_vmp.0040BDEB

p-code esi起始：0040BDEB

貌似这个handler里面显示出来了：


如果要修改的话，




是不是得修改pcode里面的, 44 70 40 00,
修改为自定义的某一00区域的地址如00405C3A ，即 3A 5C 40 00,  把这个地址修改为www.baidu.com

那么这个补丁要修改写？保存修改或是直接写补丁都可以，要如何实现？ 毕竟感觉在OD中直接修改EAX为www.baidu.com不太好。

不知道上面的猜想对不对。初学，求助大佬解惑，赠送300CB。

测试程序：https://www.lanzouj.com/i8c2v9c

思想者

发现一个有趣的东西, 直接载入软件后, 在数据窗口上ctrl+g, 跳到00407044, 就是补丁地址了, 都不用跑起来的样子.



怎么从头定位到这个地址, 我就不懂了, 我是断点到你留的地址0040B637, 然后出现的00407044

魔弑神

朱朱你堕落了 发表于 2019-12-29 17:15
谢谢大佬，是我想实现的，麻烦把0040B530这个地址的修改也截下图吧。大佬只截了00区域的，哈哈。

0040B530这个地址不用修改 是原跳转的
还有的是VMP 是不加密字符串的 都可以在内存找出来的

魔弑神

push eax
jmp 0040b530


push eax
jmp 0100000


不修改寄存器 那就汇编实现咯

四公子丶

。。。。。直接MessageBoxA 断点    断下后   就可以看到参数了  修改一下参数  不就行了      这个地址还是静态的   

TMTT

这就是你要的效果？


直接用这个生成补丁工具就行了。
00407047   2E62616964752E636F6D0000

朱朱你堕落了

魔弑神 发表于 2019-12-29 16:37
push eax
jmp 0040b530

谢谢大佬，是我想实现的，麻烦把0040B530这个地址的修改也截下图吧。大佬只截了00区域的，哈哈。

朱朱你堕落了

TMTT 发表于 2019-12-29 16:56
这就是你要的效果？

@TMTT @思想者

求助大佬，我想不明白了，为什么都VM了，还能在内容中能搜索到呢？我去！！！

朱朱你堕落了

魔弑神 发表于 2019-12-29 17:27
0040B530这个地址不用修改 是原跳转的
还有的是VMP 是不加密字符串的 都可以在内存找出来的

麻烦大佬上传下你修改的吧，我直接OD跟踪你修改的吧。

魔弑神

朱朱你堕落了 发表于 2019-12-29 17:43
麻烦大佬上传下你修改的吧，我直接OD跟踪你修改的吧。

https://share.weiyun.com/5QyafQN