se2.4patch机器码成功，制作补丁无效，运行补丁程序直接retn

求助se2.4patch机器码成功，制作补丁无效，运行补丁程序直接retn

求助补丁制作错误

前面发的贴子由于自己太敷衍被撤下来了

给管理说声抱歉，（审核）辛苦啦！

杀毒网查杀日志 http://r.virscan.org/language/zh-cn/report/5b842064d7b1461a75c32ae084511e83


文件名 se2.4_patch_files.rar
MD5 :        a3e74735054ea6fe93fb558c619ca354
SHA1 :        e2f2aea04e4186c21631cd1de3bf0056471cf98e
火绒查杀图

                               
登录/注册后可看大图

se2.4机器码具体patch图
图一：
和其他se版本貌似没有什么区别！
疑惑1：载入OD程序停在call上，貌似其他的本版都停在jmp上


图二：
二进制搜索windows api 函数 RegQueryValueEXA
Ctrl+B Ctrl+L两次找到：
00D9463F   > \E8 11000000   CALL 00D94655                            ;  PUSH ASCII "RegQueryValueExA"
00D94644   .  52 65 67 51 7>ASCII "RegQueryV"
00D9464D   >  61            POPAD
00D9464E      6C            DB 6C                                    ;  CHAR 'l'
00D9464F      75            DB 75                                    ;  CHAR 'u'
00D94650      65            DB 65                                    ;  CHAR 'e'
00D94651      45            DB 45                                    ;  CHAR 'E'
00D94652      78            DB 78                                    ;  CHAR 'x'
00D94653      41            DB 41                                    ;  CHAR 'A'
00D94654   .  00            ASCII 0
00D94655   >^ E9 78FCFFFF   JMP 00D942D2 \\此处跟随 一直跟到retn处
00D9465A   >  57            PUSH EDI                                 ;  ntdll.7C930228
00D9465B   .  E9 BD000000   JMP 00D9471D



图三：
00D94274   > \61            POPAD
疑惑2：00D94275                                                          \\ 此处可否作为se_jmp_addr=00D94275
00D94275   .  FF4424 08     INC DWORD PTR SS:[ESP+0x8]               ;  WolServe.00E2CD11
-------------------------------寄存器信息--------------------------------
EAX 0012E4D0 ASCII "SystemBiosVersion"           \\SBV_ADDR=0012E4D0

——————————————————————————————————————
00D94279   .  9D            POPFD
00D9427A   .  C3            RETN



图四：
EAX 0012E4D0 ASCII "SystemBiosVersion"
\\SBV_ADDR=0012E4D0
\\ SN_ADDR=0012E50C
偏移SN_ADDR=0012E50C-SBV_ADDR=0012E4D0=0x3c
跟随到数据窗口在0012E527下硬件写入断点

图五：
0012e527 下硬件断点 F9 两次 出现本机机器码，替换KEY文件对应的机器码 删除硬件断点F9运行
HEX:d7e2cab500082000c2060200008dfc04a07d060773175cc3946133af
D7 E2 CA B5 00 08 04 00 E3 06 05 00 00 01 02 03 04 05 06 07 4B 1F DF ED 54 45 DF FD


图六：
patch机器码程序跑起来

                               
登录/注册后可看大图

生产补丁
se_jmp_addr=00D94275
se_call_addr=00E0E643
SBV_ADDR=0012E4D0
SN_ADDR=0012E50C
偏移SN_ADDR=0012E50C-SBV_ADDR=0012E4D0=0x3c

F9 两次胸出现机器码删除断点，删除分析，程序停在\\00E0E611 E8 2D000000 CALL 00E0E643
                                                       找最近的jmp\\00E0E643 E9 95000000 JMP 00E0E6DD
00E0E611    E8 2D000000     CALL 00E0E643
00E0E616    BD 3CAE6A3C     MOV EBP, 0x3C6AAE3C
00E0E61B    5D              POP EBP                                  ; WolServe.00D88726
00E0E61C    087A 6E         OR BYTE PTR DS:[EDX+0x6E], BH
00E0E61F    5C              POP ESP                                  ; WolServe.00D88726
00E0E620    9B              WAIT
00E0E621    F8              CLC
00E0E622    D219            RCR BYTE PTR DS:[ECX], CL
00E0E624    3A69 88         CMP CH, BYTE PTR DS:[ECX-0x78]
00E0E627    2B8D 9C24CE00   SUB ECX, DWORD PTR SS:[EBP+0xCE249C]
00E0E62D    0000            ADD BYTE PTR DS:[EAX], AL
00E0E62F    66:8B1C24       MOV BX, WORD PTR SS:[ESP]
00E0E633    9C              PUSHFD
00E0E634    66:871C24       XCHG WORD PTR SS:[ESP], BX
00E0E638    66:8B5C24 03    MOV BX, WORD PTR SS:[ESP+0x3]
00E0E63D    877424 04       XCHG DWORD PTR SS:[ESP+0x4], ESI
00E0E641  ^ EB A5           JMP SHORT 00E0E5E8
00E0E643    E9 95000000     JMP 00E0E6DD


补丁的源码程序论坛里面的，E语言源码

补丁运行程序直接retn
或者是提示机器码错误
再或者提示内部错误
最后附上程序下载地址链接：https://pan.baidu.com/s/1jQfDZTGnarwQFkBMcWfopA 密码：limk

山寨key稳定点！

Snake丨顔 发表于 2018-8-1 23:32
山寨key稳定点！

用脚本跑出来就一个文件，RandKey.bin，另一个文件没有 ！  

补丁path时机不对，在载入内核前就要挂载path，否则无效。

leave 发表于 2018-8-2 00:17
直接脱了就好 不过好像缺少文件 有几个菜单打不开

就怕脱壳程序会报错，所以没有尝试，还有就是没有这个能力脱壳

xxhaishixx 发表于 2018-8-2 01:33
补丁path时机不对，在载入内核前就要挂载path，否则无效。

不是很懂！我也是现学的hook

leave 发表于 2018-8-2 00:17
直接脱了就好 不过好像缺少文件 有几个菜单打不开

这个脱壳和2.3.9一样么？

原来的E语言补丁是通用的，只是原作者在计算地址时候用套用的是公式，把地址写成常量就Ok

leave 发表于 2018-8-1 19:28
直接脱了就好 不过好像缺少文件 有几个菜单打不开

脱壳的版本能给我 试试不，hook机器码了 功能不完整