带壳的程序、动态基址，飘云阁有没有支持的补丁工具？

理想的海洋

程序带壳 需要把一个地方nop掉就可以正常启动，但是程序解码之后  基址是动态的 什么补丁工具支持动态基址？
下GetStartupInfoA断点 f9运行 ，成功断下  



然后再调用堆栈窗口看到22b7开头的地址 双击进去


在当前区段ctlrl搜索FF 15 F3 D3 DC FF  然后nop掉  这个区段在xdbg看  是程序领空   不知道判断的对不对

然后f9运行 显示下图就算成功了  

在大白的交流群里请教过了  这种类型的程序大白还不支持  dll劫持补丁倒是有成功的  不知道如何操作  请教一下飘云阁的大神们指点。

文件链接如下
https://710898798.lanzoum.com/i0u2v0x3f2uj

我用dll劫持补丁工具 劫持不成功  不知道问题在哪？

zyjsuper

https://www.chinapyg.com/thread-135791-1-1.html

理想的海洋

zyjsuper 发表于 2023-5-27 20:55
https://www.chinapyg.com/thread-135791-1-1.html

你好大神  我这个是程序运行之后申请的内存地址 不是主程序exe地址 你发的方法也同样适用吗？

理想的海洋

zyjsuper 发表于 2023-5-27 20:55
https://www.chinapyg.com/thread-135791-1-1.html

你好  请教下  程序的基地址按以上方法修改之后不会在变了  但是这个需要补丁的区段的地址 一直在变  后4位一直不变   有啥方法固定一下这个区段的基址不

wolaikaoyan0

在不在exe的临空？相对exe基址是否固定？

理想的海洋

wolaikaoyan0 发表于 2023-5-27 22:26
在不在exe的临空？相对exe基址是否固定？

是在程序模块的非exe领空   申请的随机内存地址   和程序地址的偏移也是不固定的   

Superhero

程序都知道申请的地址在哪里，所以你也可以知道。

理想的海洋

Superhero 发表于 2023-5-27 22:58
程序都知道申请的地址在哪里，所以你也可以知道。

学艺不精 单步跟也没有找到在哪申请的  大佬请指点

wolaikaoyan0

是否能知道exe哪里跳转过去的？执行以后，应该会返回exe领空，将要执行的这些代码补到exe领空中，在exe领空来回跳转。

理想的海洋

wolaikaoyan0 发表于 2023-5-28 19:25
是否能知道exe哪里跳转过去的？执行以后，应该会返回exe领空，将要执行的这些代码补到exe领空中，在exe领空 ...

明白您的思路 意思就是修改只能在程序领空  我单步跟不到用户模块哪跳过去的   知道是 系统模块断下之后运行到返回 在跳到那个解码定位不到的区段  然后执行一些代码判断与机器码不符合就在当前区段进退出call了  如果能回朔到到系统模块的上一步  jmp跳过那个区段估计也可行  但是这个不好找 而且 还不只一次的跳  能修改那个申请内存的区段最简单 可以没有可用的劫持补丁工具   自己写又不会 哈哈 小白一个