关于用 x64dbg Patch一个exe的问题

yinsel · 发表于 2024-5-6 17:30

这是一个Windows x64 平台的程序。
目前遇到了一个问题，汇编代码如下：
mov rax,qword ptr ds:[rcx+10] [rcx+10]:"20230101"
其中的20230101代表日期，程序会校验当前日期是否大于20230101，如果大于则会退出。我想patch它从而达到永不过期，思路是为exe添加一个数据段，然后将这段汇编代码改为从这个数据段中获取数据，请问这个思路可行吗，如果可行如何patch它，目前刚刚接触这方面，希望有人指点指点。

xiaoweng · 发表于 2024-5-6 17:59

我看着这句应该是 mov rax,qword ptr ds:[rcx+10] 把寄存器rcx+10的地址的内存数据获取出来，赋值给rax，我看了你提供的[rcx+10]:"20230101"是文本型，那么我们尝试直接把这个mov rax,qword ptr ds:[rcx+10]改成 mov rax,空白地址，空白地址写入文本型"20280101"这样rax就被赋值了2028年，应该差不多了.本人不精通x64，在x86这样肯定是行得通的！

xiaoweng · 发表于 2024-5-7 08:16

yinsel 发表于 2024-5-6 21:57
但是程序每次加载的时候基地址不一样，怎么确保填入指向的是0000000

如果exe没有加壳，那么直接修改保存呗，如果加壳了，就考虑计算基址的偏移了，口述很难理解的，最好是有软件下载地址和对应的补丁位置

，这样动手试过才知道方案合适不合适！

阿政0506 · 发表于 2024-5-6 17:41

定位特征码直接写就行了，你可以先用ce尝试

byh3025 · 发表于 2024-5-6 17:52

直接改这个日期不行吗？或者下面应该有个跳转改成相反

yinsel · 发表于 2024-5-6 17:59

byh3025 发表于 2024-5-6 17:52
直接改这个日期不行吗？或者下面应该有个跳转改成相反

可以直接改，但是我想要patch它成为exe

yinsel · 发表于 2024-5-6 18:00

byh3025 发表于 2024-5-6 17:52
直接改这个日期不行吗？或者下面应该有个跳转改成相反

跳转后面逻辑比较复杂，一时半会找不到，但是我找到它的关键数据了，相对来说数据应该好改一些

yinsel · 发表于 2024-5-6 18:01

阿政0506 发表于 2024-5-6 17:41
定位特征码直接写就行了，你可以先用ce尝试

我直接可以修改内存中的数据，但是我现在想把修改的数据硬编码到这个exe里，这样每次打开已经是修改过的了

yinsel · 发表于 2024-5-6 18:02

xiaoweng 发表于 2024-5-6 17:59
我看着这句应该是 mov rax,qword ptr ds:[rcx+10] 把寄存器rcx+10的地址的内存数据获取出来，赋值给rax， ...

感谢，但这个空白地址指的是？不太理解

situhaonan · 发表于 2024-5-6 18:08

找谁给 [rcx+10]:"20230101" 赋值，然后修改

yinsel · 发表于 2024-5-6 18:12

situhaonan 发表于 2024-5-6 18:08
找谁给 [rcx+10]:"20230101" 赋值，然后修改

感谢回复，我找找

帐号		自动登录	找回密码
密码			注册[Register]

[新手问题] 关于用 x64dbg Patch一个exe的问题

浏览过的版块

个人中心