某带壳内存补丁loader逆向分析RECORD

fonge

RESULT：
1．        内含有一段经典CRC校验码，但loader中好像没有用过
2．        流程是，用CreateFile，ReadFile确认文件存在， CreateProcess创建进程，ReadProcessMomory读取进程指定时期内的某数据进行比较,WriteProcessMomory在适当时机写入数据（目标数据被解压完成）
3．        逻辑：启动进程，并行一样进行比较，在目标进程解压完成后立即修改，抢时间型loader
4．        问题：这样的loader不易被调试，loader被挂起，那么目标进程可能完全运行


见附件...

wan

厉害~~~风中的神话
还不会用IDA分析东东呢/:011

kungbim

直接写个东西Hook ReadProcessMomory、Hook WriteProcessMomory 就搞定了 根本不用这么麻烦了/:012

wyqzm

写个钩子,直接强力注入就可以了,更加简单,有没有加壳都无所谓