如何针对有壳的VB程序打补丁？

朱朱你堕落了

现在还没有解决。贴子：https://www.52pojie.cn/thread-982689-1-1.html

求方法。

bester

费劲千辛万苦才从工具包找到一个VB的程序，要善于发现，自己拿一个VB的例子，去OEP看 最先到达哪个API，然后加个壳，看这个API是否被壳占用，如果没有就可以拿来用
660035DD    FF15 A0100066   call dword ptr ds:[<&KERNEL32.GetStartup>; kernel32.GetStartupInfoA
0040122C  - FF25 9C104000   jmp dword ptr ds:[<&MSVBVM60.#100>]      ; msvbvm60.ThunRTMain

朱朱你堕落了

bester 发表于 2019-7-3 17:21
费劲千辛万苦才从工具包找到一个VB的程序，要善于发现，自己拿一个VB的例子，去OEP看 最先到达哪个API，然 ...

想法是很好，但是测试了HOOK这个函数并不管用。现实很残酷，直接就被检测到了。

榻榻米

你这个问题根本就不应该存在的  我上次就狠想说你的  可悲的是你没有找到正确的函数 试试HOOK“kernel32.dll”万能的 “LoadLibraryA”吧 你会找到惊喜的！

朱朱你堕落了

榻榻米 发表于 2019-7-3 21:29
你这个问题根本就不应该存在的  我上次就狠想说你的  可悲的是你没有找到正确的函数 试试HOOK“kernel32.dl ...

大胸弟，你都没有测试，你这种方法不行的。我已经测试过了。不信你可以试试，实践是检验真理的唯一标准。

榻榻米

朱朱你堕落了 发表于 2019-7-3 21:42
大胸弟，你都没有测试，你这种方法不行的。我已经测试过了。不信你可以试试，实践是检验真理的唯一标准。

对你无语  我就是用大白测试才回复你的  就是用这个函数后显示不等于3

朱朱你堕落了

榻榻米 发表于 2019-7-4 14:13
对你无语  我就是用大白测试才回复你的  就是用这个函数后显示不等于3

之前用的是PYG的一个EX内存补丁测试，被检测，刚才又用了大白在XP上测试了下，就是HOOK LoadLibraryA的还是被检测。算了不再纠结这个问题了，HOOK CreateWindowExA就没事了。