吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 570|回复: 11
收起左侧

[已解决] 求一个逆向内存补丁的思路

[复制链接]
bestchao 发表于 2024-4-13 01:46
30吾爱币
本帖最后由 bestchao 于 2024-4-13 03:16 编辑

已知内存补丁可以使软件正常运行(E语言写的内存补丁)
如何知道内存补丁修改的位置和数据?(自己破不掉这个软件 想学习方法)

自己的方法测试不行~

1.载入内存补丁文件  下断WriteProcessMemory (想看看程序写入地址和内容)
004654D5 >  55              PUSH EBP
004654D6    8BEC            MOV EBP,ESP
004654D8    6A FF           PUSH -0x1
004654DA    68 60CE4A00     PUSH 0x4ACE60
004654DF    68 9CA44600     PUSH 0x46A49C
004654E4    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
004654EA    50              PUSH EAX
004654EB    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004654F2    83EC 58         SUB ESP,0x58
004654F5    53              PUSH EBX
004654F6    56              PUSH ESI
004654F7    57              PUSH EDI
004654F8    8965 E8         MOV DWORD PTR SS:[EBP-0x18],ESP
004654FB    FF15 60534800   CALL DWORD PTR DS:[0x485360]             ; kernel32.GetVersion
00465501    33D2            XOR EDX,EDX
00465503    8AD4            MOV DL,AH
00465505    8915 20AA4E00   MOV DWORD PTR DS:[0x4EAA20],EDX
0046550B    8BC8            MOV ECX,EAX
0046550D    81E1 FF000000   AND ECX,0xFF
00465513    890D 1CAA4E00   MOV DWORD PTR DS:[0x4EAA1C],ECX



结果 无法拦截。。。附加一样 请给给方法或思路。。。


补丁下载链接
https://xgkj2020.lanzn.com/iu9EJ1uv783g

为防止求破解主程序就不放了。。。
窗口类名 “欢迎使用”


最佳答案

查看完整内容

这是易语言的网截,拦截修改网络请求用的, WriteProcessMemory 肯定是无效的,因为根本不用。这补丁多半就是进行了IP转向或者是修改了请求/响应的内容

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
为之奈何? + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Aurelion 发表于 2024-4-13 01:46
  这是易语言的网截,拦截修改网络请求用的, WriteProcessMemory 肯定是无效的,因为根本不用。这补丁多半就是进行了IP转向或者是修改了请求/响应的内容

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
netspirit + 1 + 1 高手在民间啊

查看全部评分

爱飞的猫 发表于 2024-4-13 02:00
可以试试 Hook WriteProcessMemory API 调用,然后记录修改点。
 楼主| bestchao 发表于 2024-4-13 02:33
本帖最后由 bestchao 于 2024-4-13 02:55 编辑
爱飞的猫 发表于 2024-4-13 02:00
可以试试 Hook WriteProcessMemory API 调用,然后记录修改点。

下断 WriteProcessMemory 无法拦截 附加 运行都不行
难道不是EXE执行的 是释放了DLL?
谁的坏叔叔 发表于 2024-4-13 09:33
驱动读者的话 你在这下段是没用的
老道 发表于 2024-4-13 09:56
本帖最后由 老道 于 2024-4-13 09:57 编辑

如果是内存补丁,最简单的办法 运行起来,dump .text段 带补丁和不带的 分别提取 对比就行了。
 楼主| bestchao 发表于 2024-4-13 10:07
Aurelion 发表于 2024-4-13 01:46
这是易语言的网截,拦截修改网络请求用的, WriteProcessMemory 肯定是无效的,因为根本不用 ...

网截补丁有逆向思路吗?20年没碰了啥都不懂了😓
solly 发表于 2024-4-13 10:57
bestchao 发表于 2024-4-13 10:07
网截补丁有逆向思路吗?20年没碰了啥都不懂了😓

直接查看网络数据通讯的API,看看有没有被hook。
 楼主| bestchao 发表于 2024-4-13 11:10
solly 发表于 2024-4-13 10:57
直接查看网络数据通讯的API,看看有没有被hook。

好的,试试去,感谢。
 楼主| bestchao 发表于 2024-4-13 11:22
solly 发表于 2024-4-13 10:57
直接查看网络数据通讯的API,看看有没有被hook。

一样拦截不到,应该还是内存释放dll了?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止回复与主题无关非技术内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-5-1 04:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表