用内存写入监视器查看patch程序的地址：找关键跳转

wangzhe311 · 发表于 2012-11-23 12:41

本帖最后由 wangzhe311 于 2012-11-23 12:45 编辑

用内存写入监视器查看patch程序的地址：找关键跳转
网上有好多patch工具，但是有时候我们更想知道他们破解的哪里，软件破解的关键在哪里，这里我们就用到这样一个工具《内存写入监视器 V2.0》，如图：
图片1.png

这个工具可以用来监视patch.exe更改了原程序的哪个地方。就拿原先我制作的一个patch.exe来做例子吧。上图：
图片2.png

华夏神笔支票打印软件.exe为原程序，PATCH_wangzhe311.exe为patch工具，
直接运行原程序：
图片3.png

运行patch.exe,则如图：
图片4.png

则注册并运行。
好了，我们下面想找出patch.exe对原程序更改的那个地方。拿出内存写入监视器 V2.0并启动，在进行路径那里选择我们要监视的patch.exe工具，并开始监控。程序会自动运行patch.exe工具。
Patch.exe修改程序数据的情况则一目了然了。
图片5.png

写入地址：004c2617 写入：85

我们拿OD看一下，程序的004c2617 处。
004C2616 . /0F84 490A0000 je 华夏神笔.004C3065 此为关键跳，程序将84改为了85
004C261C . |C745 84 DC114>mov dword ptr ss:[ebp-7C],华夏神笔.004211DC ; UNICODE "C:\WINDOWS\system\testfile1.txt" 记录试用信息。
004C2623 . |C785 7CFFFFFF>mov dword ptr ss:[ebp-84],8
004C262D . |8D95 7CFFFFFF lea edx,dword ptr ss:[ebp-84]
明了了，我们找了好久找不到的关键就在眼前了。

田田圏 · 发表于 2012-11-23 12:57

提示: 作者被禁止或删除内容自动屏蔽

Some · 发表于 2012-11-23 13:02

嗯这个不错不过有些有防记录的只能悲剧了

3765999 · 发表于 2012-11-23 13:04

只放几个图就原创了·！！！

xh5510 · 发表于 2012-11-23 13:15

貌似是很犀利的样子

1354669803 · 发表于 2012-11-23 13:16

樱花补丁各种无压力

wangzhe311 · 发表于 2012-11-23 13:33

3765999 发表于 2012-11-23 13:04
只放几个图就原创了·！！！

自己写的不都是原创么？

wangzhe311 · 发表于 2012-11-23 13:34

田田圏发表于 2012-11-23 12:57
感谢楼主分享内存监视器也放一下把 3Q

工具包中都有的。

nihg · 发表于 2012-11-23 13:49

呵呵，还是很认真的说

1933692831 · 发表于 2012-11-23 14:05

不错~~~顶！~~~~

帐号		自动登录	找回密码
密码			注册[Register]

田田圏田田圏当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	田田圏发表于 2012-11-23 12:57 提示: 作者被禁止或删除内容自动屏蔽
田田圏田田圏当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
	回复支持 3 举报

[分享] 用内存写入监视器查看patch程序的地址：找关键跳转

本帖被以下淘专辑推荐:

个人中心