这种动态基址，且不在00400000之内的补丁怎么打？

yang6812

首先下断字符串对比断点。


运行软件会断下来。再去内存搜索特征码。

发现地址都没有00400000之内。

手动改75为EB，可过对比验证。

研究了好几天，不懂怎么打补丁 。大白工具不懂怎样设置这类的补丁。
求各位大佬，指点迷津？

yang6812

查病毒：

https://habo.qq.com/file/showdetail?pk=ADYGZl1vB28IOFs4U2o%3D

llh001

试试搜索替换特征码补丁模式

飘云

这貌似是堆上分配的地址？ 先Hook这个函数，然后搜索特征~，要是自己写代码的话就简单了~

smallhorse

net，求教如何补丁

smallhorse

飘云 发表于 2023-10-18 14:30
这貌似是堆上分配的地址？ 先Hook这个函数，然后搜索特征~，要是自己写代码的话就简单了~

是net的，不知道OD怎么玩

鲲鹏

直接修改原始文件不是更好吗？
你定位到的特征如下。

[Asm] 纯文本查看 复制代码

00000000 | 75 16                               | jne $+18                                |
00000002 | C785 C4FEFFFF A3CFEF95              | mov dword ptr ss:[ebp-13C],95EFCFA3     |

对应到原始文件特征如下。

[Asm] 纯文本查看 复制代码

00000000 | 2D 08                               | brtrue.s $+A                            |
00000002 | 20 A3CFEF95                         | ldc.i4 95EFCFA3                         |

你把75改成EB，也就是jne改成jmp，等价于brtrue.s改成br.s，也就是2D改成2B。

wtujoxk

smallhorse 发表于 2023-10-18 18:34
是net的，不知道OD怎么玩

注册码生成是：DES加密
key和iv都是：byte[] array = new byte[] { 248, 115, 185, 30, 225, 188, 144, 123 };
注册码组成为：
88fd2fS6MaT9FO6A6jchgEAVL2kMa+Pa5DBmbNWvHT4=|2099-01-01|BD222V0D
用“|”分割，第一部分机器码，第二部分时间，第三部分好像是识别码，这个没有特别分析

yang6812

wtujoxk 发表于 2023-10-18 20:25
注册码生成是：DES加密
key和iv都是：byte[] array = new byte[] { 248, 115, 185, 30, 225, 188, 144,  ...

现在想要的是跳过机器码对比，直接跑过验证。。。

yang6812

鲲鹏 发表于 2023-10-18 19:45
直接修改原始文件不是更好吗？
你定位到的特征如下。
[mw_shl_code=asm,true]00000000 | 75 16           ...

2D改成2B，运行直接报错？