这种动态基址,且不在00400000之内的补丁怎么打?
首先下断字符串对比断点。运行软件会断下来。再去内存搜索特征码。
发现地址都没有00400000之内。
手动改75为EB,可过对比验证。
研究了好几天,不懂怎么打补丁 。大白工具不懂怎样设置这类的补丁。
求各位大佬,指点迷津?
本帖最后由 yang6812 于 2023-10-18 21:58 编辑
查病毒:
https://habo.qq.com/file/showdetail?pk=ADYGZl1vB28IOFs4U2o%3D
试试搜索替换特征码补丁模式 这貌似是堆上分配的地址? 先Hook这个函数,然后搜索特征~,要是自己写代码的话就简单了~ net,求教如何补丁 飘云 发表于 2023-10-18 14:30
这貌似是堆上分配的地址? 先Hook这个函数,然后搜索特征~,要是自己写代码的话就简单了~
是net的,不知道OD怎么玩
直接修改原始文件不是更好吗?
你定位到的特征如下。
00000000 | 75 16 | jne $+18 |
00000002 | C785 C4FEFFFF A3CFEF95 | mov dword ptr ss:,95EFCFA3 |
对应到原始文件特征如下。
00000000 | 2D 08 | brtrue.s $+A |
00000002 | 20 A3CFEF95 | ldc.i4 95EFCFA3 |
你把75改成EB,也就是jne改成jmp,等价于brtrue.s改成br.s,也就是2D改成2B。
smallhorse 发表于 2023-10-18 18:34
是net的,不知道OD怎么玩
注册码生成是:DES加密
key和iv都是:byte[] array = new byte[] { 248, 115, 185, 30, 225, 188, 144, 123 };
注册码组成为:
88fd2fS6MaT9FO6A6jchgEAVL2kMa+Pa5DBmbNWvHT4=|2099-01-01|BD222V0D
用“|”分割,第一部分机器码,第二部分时间,第三部分好像是识别码,这个没有特别分析
wtujoxk 发表于 2023-10-18 20:25
注册码生成是:DES加密
key和iv都是:byte[] array = new byte[] { 248, 115, 185, 30, 225, 188, 144,...
现在想要的是跳过机器码对比,直接跑过验证。。。
鲲鹏 发表于 2023-10-18 19:45
直接修改原始文件不是更好吗?
你定位到的特征如下。
00000000 | 75 16 ...
2D改成2B,运行直接报错?
页:
[1]
2