yang6812 发表于 2023-10-18 09:30:36

这种动态基址,且不在00400000之内的补丁怎么打?

首先下断字符串对比断点。


运行软件会断下来。再去内存搜索特征码。

发现地址都没有00400000之内。

手动改75为EB,可过对比验证。

研究了好几天,不懂怎么打补丁 。大白工具不懂怎样设置这类的补丁。
求各位大佬,指点迷津?



yang6812 发表于 2023-10-18 09:45:28

本帖最后由 yang6812 于 2023-10-18 21:58 编辑




查病毒:

https://habo.qq.com/file/showdetail?pk=ADYGZl1vB28IOFs4U2o%3D



llh001 发表于 2023-10-18 09:53:51

试试搜索替换特征码补丁模式

飘云 发表于 2023-10-18 14:30:56

这貌似是堆上分配的地址? 先Hook这个函数,然后搜索特征~,要是自己写代码的话就简单了~

smallhorse 发表于 2023-10-18 18:17:37

net,求教如何补丁

smallhorse 发表于 2023-10-18 18:34:21

飘云 发表于 2023-10-18 14:30
这貌似是堆上分配的地址? 先Hook这个函数,然后搜索特征~,要是自己写代码的话就简单了~

是net的,不知道OD怎么玩

鲲鹏 发表于 2023-10-18 19:45:33

直接修改原始文件不是更好吗?
你定位到的特征如下。
00000000 | 75 16                               | jne $+18                              |
00000002 | C785 C4FEFFFF A3CFEF95            | mov dword ptr ss:,95EFCFA3   |

对应到原始文件特征如下。
00000000 | 2D 08                               | brtrue.s $+A                            |
00000002 | 20 A3CFEF95                         | ldc.i4 95EFCFA3                         |

你把75改成EB,也就是jne改成jmp,等价于brtrue.s改成br.s,也就是2D改成2B。


wtujoxk 发表于 2023-10-18 20:25:10

smallhorse 发表于 2023-10-18 18:34
是net的,不知道OD怎么玩

注册码生成是:DES加密
key和iv都是:byte[] array = new byte[] { 248, 115, 185, 30, 225, 188, 144, 123 };
注册码组成为:
88fd2fS6MaT9FO6A6jchgEAVL2kMa+Pa5DBmbNWvHT4=|2099-01-01|BD222V0D
用“|”分割,第一部分机器码,第二部分时间,第三部分好像是识别码,这个没有特别分析

yang6812 发表于 2023-10-18 20:38:57

wtujoxk 发表于 2023-10-18 20:25
注册码生成是:DES加密
key和iv都是:byte[] array = new byte[] { 248, 115, 185, 30, 225, 188, 144,...

现在想要的是跳过机器码对比,直接跑过验证。。。

yang6812 发表于 2023-10-18 21:04:01

鲲鹏 发表于 2023-10-18 19:45
直接修改原始文件不是更好吗?
你定位到的特征如下。
00000000 | 75 16         ...

2D改成2B,运行直接报错?
页: [1] 2
查看完整版本: 这种动态基址,且不在00400000之内的补丁怎么打?