内嵌补丁

最新推荐文章于 2022-04-18 00:56:47 发布
最新推荐文章于 2022-04-18 00:56:47 发布
阅读量111 收藏
点赞数
分类专栏: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33976344/article/details/114386901
版权

内嵌代码补丁

针对加密或压缩的代码进行打补丁的技术, 引入洞穴代码Code Cave.
在这里插入图片描述

普通代码补丁与内嵌代码补丁的对比

在这里插入图片描述
每次内存中运行时, 内嵌补丁都会执行一次, 发生在解密OEP之后.

基本思想

加密, 解压缩之后会进入OEP, 找到这条进入OEP的指令, patch该JMP指令修改执行流到额外添加的代码段, 执行对解密/解压缩之后的代码打补丁的操作, 再JMP到OEP, 就实现了内嵌补丁.

实现方式
  • 设置到文件空白区域(比如要求符合Section Alignment时空余的位置)
  • 扩展到最后节区
  • 添加新节区

补丁代码少时用第一种方式, 多时用后两种.

fa1c4
关注
专栏目录
内嵌补丁练习
Mi1k7ea
06-12 1409
内嵌补丁内嵌补丁内嵌代码补丁(Inline Code Patch),当难以直接修改指定代码时,插入并运行被称为“洞穴代码”(Code Cave)的补丁代码后,对程序实现打补丁。该技术经常用于对象程序经过运行时压缩(或加密处理)而难以直接修改的情况。如图,左边是经典的运行时压缩代码(或加密代码),EP代码先将加密的OEP代码解码,再跳转到OEP代码处执行。若要打补丁的代码存在于经过加密的OEP区域...
《逆向工程核心原理》学习笔记8 内嵌补丁练习
EloflyS的博客
03-14 274
《逆向工程核心原理》学习笔记8 调试Upack加壳的notepad.exe 上次的博客详细分析了UPack加壳的notepad.exe,所以这次我们尝试调试该notepad.exe,我们依然在OD当中去调试它。 打开它的时候,会出现警告信息,不用管他,点击确定,由于这个对话框中显示的错误,导致OD无法找到实际的EP位置,所以就会停在其他地方。但是没关系,因为 ...
内嵌补丁(洞穴代码)
weixin_30876945的博客
08-20 143
测试文件:https://www.lanzous.com/i5o5fhg 1.准备 典型的运行时压缩(或者加密代码),是EP代码先将加密的OEP代码解密,再跳转到OEP处。而若要修改被加密的内容,可以在EP解密代码之后,JMP跳转目标改为“洞穴代码”(此时的代码已被解密),再跳转到OEP。 打开测试文件 2.OD调试 查找所有字符串之后,未找到所需要的...
小甲鱼 OllyDbg 教程系列 (十一) : inline patch ( 内嵌补丁 )
freeking101的博客
11-18 941
小甲鱼 OllyDbg 视频教程:https://www.bilibili.com/video/av6889190?p=19 程序下载地址:https://pan.baidu.com/s/1u6SWgx83VWDwitNzxT2OXg 提取码:if41 PEiD 查壳工具:https://pan.baidu.com/s/1iNS4UlBvmXCxaj5a-AFupw ...
CobaltPatch:钴罢工可锻轮廓内嵌补丁模板
03-08
关于 自定义项目模板,用于创建可用的字节码blob,这些blob可以放置在post-ex和stage库的各个transform-x64和transform-x86块中。 我们代码的入口点存储在source / main.c EntryPoint函数下。 虽然这不是真正的入口...
逆向工程核心原理 第20章patchme内嵌补丁实践
h123120的专栏
04-18 963
一、前期准备本次要破解的是《逆向工程核心原理》书本中提到的patchme程序(一)、程序很简单,只有两个窗口             程序很简单,但是字符串在程序中都被加密了,所以稍微有点麻烦。二、破解过程(一)、使用x32dbg载入程序,按F9跳转到入口点。(二)步入第一个call调用(三)按f8步进来到40109B处仔细分析这段代码,会发现这段代码的是第一轮解密代码,对004010F5到004...
DM365/368内嵌语音驱动补丁
04-02
支持linux2.6.20以上的版本,可直接驱动芯片内置的语音模块,节省外接芯片,减小空间和功耗。
《逆向工程核心原理》学习笔记——内嵌补丁
何不提剑起,壶酒天涯路
08-27 355
内嵌补丁(Inline Patch) 它是“内嵌代码补丁“(Inline Code Patch)的简称。常用于对象程序经过运行时压缩(加密处理)而难以修改的情况。 运行时压缩代码的Ep代码先将加密的OEP代码解密,然后再跳转到OEP代码处。 内嵌补丁在文件设置被称为“洞穴代码”的“补丁代码”,在EP代码解密后修改JMP指令跳转到洞穴代码的运行。   把特定地址区域的值加和后存储到寄存器中,...
《逆向工程核心原理》20章内嵌补丁
m0_62690279的博客
04-18 291
《逆向工程核心原理》20章内嵌补丁 内嵌补丁存在的原因 由于一些程序(运行时解压缩、加密文件)需要打补丁时,难以修改指定的代码 为了修改它们, 插入额外的“洞穴代码” (程序运行同时运行这个额外代码), 来达到打补丁的效果 原理图: 书中示例的patchme程序 确定 调试分析 EP: 10E9是输出对话框的函数,跟进看看 同样跟进里面的call……9B函数 发现三个用于解码循环语句 是一个解密代码(A3~AD) 对4010f5 ~ 4010f5+154(40f1248) 的区域进行 xor 4
逆向工程核心原理----第二十章内嵌补丁练习
qq_55785697的博客
04-12 220
内嵌补丁这种方法适合于不便直接修改指定的代码,比如程序中含有校验函数,加解密函数等等。 一、分析源程序 用ollydbg打开unpackme.exe
逆向工程核心原理之内嵌补丁
wangtiankuo的博客
07-02 490
1.1       源程序分析第一次解密4010F5,与0x44异或解密401007,与0x7异或,一直到0x401086第二次解密4010F5,与0x11异或。将4010F5处的内容累加得到校验和,与0x31EB8DB0作比较,来判断代码/数据是否被改动过。下图是我们将要修改的字符串。分别位于0x40110A和0x401123        解密代码。1.2       内嵌补丁思路:解密结束后...
嵌入式linux学习笔记一--打补丁
seinechd的专栏
03-08 841
嵌入式系统的启动过程,上电后,运行bootloader,引导linux内核启动,然后挂接根文件系统,然后运行根文件系统中的应用程序。 bootloader的最终目的:启动内核 补丁:对源码包所做的修改列出来,做成补丁 patch文件中--表示原来的代码,++表示修改后的代码 @@ -34,6 +34,8 @@  /*原来代码从第34行开始,总共6行,修改后的代码从34行开始,总共8
171015 逆向-内嵌补丁
whklhhhh的博客
10-17 366
1625-5 王子昂 总结《2017年10月15日》 【连续第380天总结】 A. 内嵌补丁 B. 难以直接修改指定代码时,插入并运行被称为洞穴代码的补丁代码后,对程序打补丁。 当代码被加密保护时,或者修改空间不够时,就需要用到补丁代码的方式了补丁代码设置在何处通常有3种区域: 1.空白区域 2.扩展最后节区后设置 3.新增节区其中第一种方法最简单,直接找到空白区域插入即可;但当空白
嵌入式linux安装实时补丁,如何给嵌入式Linux打实时补丁
weixin_34838910的博客
05-10 241
相关推荐:https://www.forlinx.com/article_view_261.html一、实时系统分类实时系统可以分为硬实时(Safety-Critical,低延时,比如几十个us内)和软实时(几百个us~几个/几十个ms),硬实时通常跟高确定性、可靠性要求同时出现,如果达不到,可能会造成重大生命或者财产损失,比如说航天飞控、汽车制动系统、精密仪器等都有较高的硬实时要求。对于软实时,...
《逆向工程核心原理》第20章——“内嵌补丁”练习
diamond_biu的博客
12-23 388
11
H3C iMC内嵌数据库安装指南:SQL Server 2016 Express要求
在软件配置需求方面,iMC支持的操作系统包括Windows Server 2012(需安装KB2836988补丁)、Windows Server 2012 R2(64位)和Windows Server 2016 R1(64位)。对于数据库,iMC集成了SQL Server 2016 Express作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值