求一个逆向内存补丁的思路

bestchao

已知内存补丁可以使软件正常运行（E语言写的内存补丁）
如何知道内存补丁修改的位置和数据？（自己破不掉这个软件 想学习方法）

自己的方法测试不行~

1.载入内存补丁文件  下断WriteProcessMemory （想看看程序写入地址和内容）
004654D5 >  55              PUSH EBP
004654D6    8BEC            MOV EBP,ESP
004654D8    6A FF           PUSH -0x1
004654DA    68 60CE4A00     PUSH 0x4ACE60
004654DF    68 9CA44600     PUSH 0x46A49C
004654E4    64:A1 00000000  MOV EAX,DWORD PTR FS:[0]
004654EA    50              PUSH EAX
004654EB    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
004654F2    83EC 58         SUB ESP,0x58
004654F5    53              PUSH EBX
004654F6    56              PUSH ESI
004654F7    57              PUSH EDI
004654F8    8965 E8         MOV DWORD PTR SS:[EBP-0x18],ESP
004654FB    FF15 60534800   CALL DWORD PTR DS:[0x485360]             ; kernel32.GetVersion
00465501    33D2            XOR EDX,EDX
00465503    8AD4            MOV DL,AH
00465505    8915 20AA4E00   MOV DWORD PTR DS:[0x4EAA20],EDX
0046550B    8BC8            MOV ECX,EAX
0046550D    81E1 FF000000   AND ECX,0xFF
00465513    890D 1CAA4E00   MOV DWORD PTR DS:[0x4EAA1C],ECX



结果 无法拦截。。。附加一样 请给给方法或思路。。。


补丁下载链接
https://xgkj2020.lanzn.com/iu9EJ1uv783g

为防止求破解主程序就不放了。。。
窗口类名 “欢迎使用”

Aurelion

  这是易语言的网截，拦截修改网络请求用的， WriteProcessMemory 肯定是无效的，因为根本不用。这补丁多半就是进行了IP转向或者是修改了请求/响应的内容

爱飞的猫

可以试试 Hook WriteProcessMemory API 调用，然后记录修改点。

bestchao

爱飞的猫 发表于 2024-4-13 02:00
可以试试 Hook WriteProcessMemory API 调用，然后记录修改点。

下断 WriteProcessMemory 无法拦截 附加 运行都不行
难道不是EXE执行的 是释放了DLL？

谁的坏叔叔

驱动读者的话 你在这下段是没用的

老道

如果是内存补丁，最简单的办法 运行起来，dump .text段 带补丁和不带的 分别提取 对比就行了。

bestchao

Aurelion 发表于 2024-4-13 01:46
这是易语言的网截，拦截修改网络请求用的， WriteProcessMemory 肯定是无效的，因为根本不用 ...

网截补丁有逆向思路吗？20年没碰了啥都不懂了😓

solly

bestchao 发表于 2024-4-13 10:07
网截补丁有逆向思路吗？20年没碰了啥都不懂了😓

直接查看网络数据通讯的API，看看有没有被hook。

bestchao

solly 发表于 2024-4-13 10:57
直接查看网络数据通讯的API，看看有没有被hook。

好的，试试去，感谢。

bestchao

solly 发表于 2024-4-13 10:57
直接查看网络数据通讯的API，看看有没有被hook。

一样拦截不到，应该还是内存释放dll了？