求指教一个补丁工具问题

LYQingYe · 发表于 2016-8-21 20:18

类似，XH的补丁，如果被 path的程序没加壳，被path后完全可以用 loadpe Dump 下来，然后 file cmp 找出补丁数据，有没有其它防dump 的思路，求支招

叶良辰和赵总 · 发表于 2016-8-21 20:53

提示: 作者被禁止或删除内容自动屏蔽

LYQingYe · 发表于 2016-8-21 20:58

叶良辰和赵总发表于 2016-8-21 20:53
不得不说你又提供了一个我找补丁数据的好思路,,,不过我感觉如果是在目标进程中申请的内存应该Dump不下来吧 ...

申请的不会被dump , 但是你最终的目的还是要修改被path程序的代码，还是会被发现，

沫颜 · 发表于 2016-8-21 21:11

LYQingYe 发表于 2016-8-21 20:58
申请的不会被dump , 但是你最终的目的还是要修改被path程序的代码，还是会被发现，

试试修改内存属性行不行-.-

虚无空幻 · 发表于 2016-8-21 21:18

沫颜发表于 2016-8-21 21:11
试试修改内存属性行不行-.-

.........绝对不行

LYQingYe · 发表于 2016-8-21 21:21

沫颜发表于 2016-8-21 21:11
试试修改内存属性行不行-.-

程序还得跑起来啊

沫颜 · 发表于 2016-8-21 21:39

LYQingYe 发表于 2016-8-21 21:21
程序还得跑起来啊

上次遇到一个FZ都读不到内存，不知道加了什么保护

LYQingYe · 发表于 2016-8-21 22:02

沫颜发表于 2016-8-21 21:39
上次遇到一个FZ都读不到内存，不知道加了什么保护

加载驱动的吧

虚无空幻 · 发表于 2016-8-21 22:36

楼主这个方法,几年前我逆向天龙呼啦圈的时候这么干过,谁叫自己能力不强......只能想歪门邪道
如果程序真的有价值,那只能修改保存,再加壳
其余的出了驱动,想不出什么招来.
比如说内存补丁吧,我所知道的,无论你是远程补丁,还是dll,都得用两个函数
virualprotect
writeprocessmemory
这两个函数不是常用函数,只有特殊要求的程序才使用
我完全可以本地断在最深层的函数,我看你怎么改.....
也或者动态加密代码段...

夏小沫 · 发表于 2016-8-21 22:41

表示没理解、、

		自动登录	找回密码
密码			立即注册

叶良辰和赵总当前离线窥视卡雷达卡头像被屏蔽	叶良辰和赵总发表于 2016-8-21 20:53 \| 显示全部楼层快速获取HB的方法：先接任务，然后评分、发帖、回帖等即可快速获得大量HB奖励！提示: 作者被禁止或删除内容自动屏蔽
叶良辰和赵总当前离线窥视卡雷达卡头像被屏蔽	吾爱汇编论坛-学破解，防破解！知进攻，懂防守！逆向分析，软件安全！52HB.COM

求指教一个补丁工具问题

评分