带壳的程序、动态基址,飘云阁有没有支持的补丁工具?
本帖最后由 理想的海洋 于 2023-5-27 11:34 编辑程序带壳 需要把一个地方nop掉就可以正常启动,但是程序解码之后基址是动态的 什么补丁工具支持动态基址?
下GetStartupInfoA断点 f9运行 ,成功断下
然后再调用堆栈窗口看到22b7开头的地址 双击进去
在当前区段ctlrl搜索FF 15 F3 D3 DC FF然后nop掉这个区段在xdbg看是程序领空 不知道判断的对不对
然后f9运行 显示下图就算成功了
在大白的交流群里请教过了这种类型的程序大白还不支持dll劫持补丁倒是有成功的不知道如何操作请教一下飘云阁的大神们指点。
文件链接如下
https://710898798.lanzoum.com/i0u2v0x3f2uj
我用dll劫持补丁工具 劫持不成功不知道问题在哪?
https://www.chinapyg.com/thread-135791-1-1.html zyjsuper 发表于 2023-5-27 20:55
https://www.chinapyg.com/thread-135791-1-1.html
你好大神我这个是程序运行之后申请的内存地址 不是主程序exe地址 你发的方法也同样适用吗?
zyjsuper 发表于 2023-5-27 20:55
https://www.chinapyg.com/thread-135791-1-1.html
你好请教下程序的基地址按以上方法修改之后不会在变了但是这个需要补丁的区段的地址 一直在变后4位一直不变 有啥方法固定一下这个区段的基址不
在不在exe的临空?相对exe基址是否固定? wolaikaoyan0 发表于 2023-5-27 22:26
在不在exe的临空?相对exe基址是否固定?
是在程序模块的非exe领空 申请的随机内存地址 和程序地址的偏移也是不固定的 程序都知道申请的地址在哪里,所以你也可以知道。 Superhero 发表于 2023-5-27 22:58
程序都知道申请的地址在哪里,所以你也可以知道。
学艺不精 单步跟也没有找到在哪申请的大佬请指点{:biggrin:}
是否能知道exe哪里跳转过去的?执行以后,应该会返回exe领空,将要执行的这些代码补到exe领空中,在exe领空来回跳转。 wolaikaoyan0 发表于 2023-5-28 19:25
是否能知道exe哪里跳转过去的?执行以后,应该会返回exe领空,将要执行的这些代码补到exe领空中,在exe领空 ...
明白您的思路 意思就是修改只能在程序领空我单步跟不到用户模块哪跳过去的 知道是 系统模块断下之后运行到返回 在跳到那个解码定位不到的区段然后执行一些代码判断与机器码不符合就在当前区段进退出call了如果能回朔到到系统模块的上一步jmp跳过那个区段估计也可行但是这个不好找 而且 还不只一次的跳能修改那个申请内存的区段最简单 可以没有可用的劫持补丁工具 自己写又不会 哈哈 小白一个