尝试用studyPE和x32dbg修改.exe文件01

最新推荐文章于 2023-09-08 09:42:27 发布
最新推荐文章于 2023-09-08 09:42:27 发布
阅读量932 收藏 2
点赞数 1
分类专栏: 笔记 编程语言 vb 文章标签: windows c++ visualstudio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40793198/article/details/118760581
版权
编程语言 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
笔记
9 篇文章 0 订阅
订阅专栏
vb
7 篇文章 0 订阅
订阅专栏

标题尝试用studyPE和x32dbg修改.exe文件01

首先,准备一个exe文件,这里我使用自己用c++编写的exe文件,在程序中调用了LoadLibraryA函数动态加载dll文件,并使用GetProcAddress函数查询dll文件中的函数。采用这样的动态加载是为了简化试验过程,通常情况下,由于程序启动时会有地址重定位,因此,修改非动态加载的地址会比较繁琐。下面是源程序,编译后生成的程序就是我们的试验目标exe程序:
在这里插入图片描述
下面,启动x32dbg.exe,并点文件->打开,打开上面生成的exe文件;如图:
在这里插入图片描述
然后,点击窗口上的“符号”,并点选程序的主线程:
在这里插入图片描述
双击主线程会切换到cpu视图:
在这里插入图片描述
注意到上图下面的红色框,$1000是虚拟偏移地址,#400文件内偏移地址,有了这两个地址后就有可能有针对的修改。
再次,注意到上方的函数调用,如图:
在这里插入图片描述
第一条call上的一条指令push theconsoletest2.EF210C,这是传入函数参数,类似theconsoletest2.EF210C这样的文件名+点号+地址的是静态的参数,应是预先设定好值的;第二条call上有两条push指令,且其中一条静态的,另一条push eax是动态的,eax应存有上一条函数的返回值,这两条push都是给函数传入参数。
然后查看push指令后的参数,这是一个地址,分析参数的偏移地址:分别为210C和211C,这是虚拟偏移地址。
在这里插入图片描述
右键点击push的汇编指令,使用“在内存窗口中转到”,转到210C:
在这里插入图片描述
观察内存窗口,可以看到实际的数据:
在这里插入图片描述
接下来打开stud_PE,载入exe文件,点击“section”,然后右键点击窗口,用右键命令添加新节,添加好后保存,并记住新节的偏移地址。
在这里插入图片描述
再次用x32dbg打开exe文件:
在这里插入图片描述
并右键点击cpu的汇编窗口,使用“转到->文件偏移”命令转到新节:
在这里插入图片描述
新节用于填充自己的程序:
在这里插入图片描述
用右键点击,使用二进制编辑。

qq_40793198
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
《加密与解密》个人阅读笔记 二(x32dbg的使用)
xy_hzz的博客
01-08 1229
本文是《加密与解密》第二章的个人阅读笔记,详细介绍了x32 dbg的使用,没有介绍Windbg的使用
GalGame汉化教程(二)——修改编码的扩展(编码范围校验修改
madonghyu的博客
12-17 8083
采用的工具:x32dbg 在教程一中,修改编码是定位到了CreateFontIndirectA这个函数,实际上创建字体可能还会是一些其他的函数,不过一般名字会带FONT。 之前研究SOFTPAL ADV SYSTEM这个引擎,发现改了字体编码之后,显示的字体依旧是乱码,查了一下资料,发现游戏字体显示实际上可能还会进行字符边界检测 GB2312和SHIFT-JIS编码中中除了ASCII部分...
PE文件硬编码代码注入
yuge1123的博客
12-03 653
以下适合有PE基础的人看,最起码要知道PE的基本结构和rva以及foa之间如何相互转换,不然会看的迷迷糊糊首先我们需要准备一个程序,待会将代码注入这个程序中 随便编写一个简单的程序,将随机基址给关闭 程序编译完成之后就是一堆二进制的数据,如果我们想将代码注入到这个程序中,我们也只能以二进制的形式进行注入,不能像编码高级语言一样,比如我们想将 这段代码注入进去,要求是在程序运行时首先运行这段代码,然后再跳转到之前的代码逻辑 我们想将这段代码注入进去的话就只能将这段代码翻译成二进制的形式,然后再到这个exe
x32dbg使用技巧随记
幸福之家的博客
04-07 3438
对于出入C/C++逆向领域的小伙伴,熟练使用x32dbg,x64dbg是很有必要的;本文章简单介绍了工具的使用情况,供大家一起学习;
BUUCTF 新年快乐(xdbg手动脱壳)
weixin_46287316的博客
11-14 2785
(博客仅个人理解,如有错误欢迎指正) -------壳的概述: 壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,一般思路就是在运行完外壳操作后,找到源程序入口(即OEP–original entry pointer)将源程序通过工具dump出来为一个exe文件,然后再进行一些修复操作,比如说重建输入表。 BUUCTF新年快乐: 1.下载附件将exe文件拖入查壳软件进行分析,发现加了upx壳: 在不脱壳的情况下拖入ida进行分析的结果如图:函数明
x32dbg动态调试--字符串搜索&修补程序
工作学习笔记
08-16 1351
x32dbg调试入门——字符串搜索
IDA、X32dbg逆向分析易语言程序窗口标题、宽度、高度
云舒的博客
10-27 2247
源于对某软件的广告删除分析,发现其为易语言程序,特此写一篇关于易语言程序的分析思路,而此篇所讲述的为修改易语言编译后程序的标题、宽度和高度。(大佬勿喷,自己分析的思路记录)
尝试studyPE和x32dbg修改.exe文件
qq_40793198的博客
07-14 1286
标题尝试studyPE和x32dbg修改.exe文件 首先,准备一个exe文件,这里我使用自己用c++编写的exe文件,在程序中调用了LoadLibraryA函数动态加载dll文件,并使用GetProcAddress函数查询dll文件中的函数。采用这样的动态加载是为了简化试验过程,通常情况下,由于程序启动时会有地址重定位,因此,修改非动态加载的地址会比较繁琐。下面是源程序,编译后生成的程序就是我们的试验目标exe程序: 下面,启动x32dbg.exe,并点文件->打开,打开上面生成的exe文件;如
X64dbg 2021最新版 中文乱码解决
热门推荐
qq_43522781的博客
03-29 28万+
X64dbg中文乱码解决 X64dbg可以对64位的软件进行反编译,是针对Olldbg只能调试32位软件的改进,使用也比较方便。但由于该软件前端使用QT开发,对中文的解析经常会出现乱码,不能很好解析出中文(经测试发现对GB2312、GBK的字符解析都没问题),为此对x64dbg-2021-1-12版进行了修改完善,增加了解析UTF-8及完善了UTF-16(Unicode)的功能,并对CPU dump界面显示方式和寄存器、堆栈标签显示方式进行了修改,同时增加了自动对进程PEB和线程TLB进行注释的功能。 一、
x32dbg/x64dbg修改后如何保存到exe
未名编程
08-06 7957
右键------->补丁------->修补文件就可以保存了,选择调试文件( Patch File) 注: 1、快捷键为ctrl+P 2、保存时输入.exe,比如test.exe
x64dbg x32dbg中文帮助文档
10-29
x64dbg x32dbg 帮助文档 x64dbg x32dbg 中文帮助文档
stringsx64dbg:x64dbg的字符串插件
04-03
用于x64dbg的插件。 更多信息: :
fx-Manager-activation-bypass:x32dbg数据库文件绕过多个CASIO应用程序上的激活试用版
04-09
x32dbg数据库文件可绕过以下应用程序的激活/试用: fx-Manager PLUS订阅 fx-CG Manager PLUS订阅 在哪里可以找到文件? 根据要绕过的应用程序,每个单独的文件夹中都有一个自述文件。 为什么不提供.exe文件呢? ...
x64dbg / x32dbg
11-27
我用来调试一个应用程序运行时缺少哪些库
Win Dbg文件和使用教程.zip
09-11
windows蓝屏原因定位工具和使用教程,内含详细使用教程。
x32dbg x64dbgl_V2019_05
09-22
windows程序开发调试工具 x32dbg x64dbg zip资源包,下载后解压直接使用,可直接使用免安装或者安装都行
x64dbg调试程序遇到异常:406D1388,MS_VC_EXCEPTION. E06D7363, CPP_EH_EXCEPTION
磁悬浮青蛙呱呱呱
07-16 6920
x64dbg调试某个程序遇到异常:第一次异常于00007FFA2EDDA839 (406D1388, MS_VC_EXCEPTION)!无视异常继续运行,加载一些dll文件后还是断在kernelbase.dll的00007FFA2EDDA839处,不过括号里面的内容变成了(E06D7363, CPP_EH_EXCEPTION). 这可能是某种反调试的技术吧,在x64dbg中选择 调试 > 高级 > 隐藏调试器(PEB),便不会出现异常,能正常调试了。如果遇到反调试技术更强的软件,...
x32调用规则
qq_33899138的博客
02-13 219
常用函数 • Process() • Remote() • P32() p64() pack() • U32()u64() unpack() • recv()recvuntil ()recvline() • Cyclic() • Flat()
X64dbg 最新版(2023.09)搜索中文字符串显示乱码的问题
donglxd的博客
09-08 3777
大家如不想在我的csdn上下载,也可以从吾爱论坛的链接的安装包里自行提取或直接安装程序。搜索了下x64dbg的github,发现x64dbg的内置字符串搜索工具只能识别ANSI和UNICODE码,至于其他的解析工作,x64dbg的作者希望由各国的x64dbg爱好者编写自己的插件处理。上面的链接是x64dbg_tol插件的网上能找到的比较新的版本,可以用在x64dbg的2023.09.02这个版本的上,我想之前的版本也是兼容的,本人不才,没有找到lynnux编写的插件的单独链接,而是提取自吾爱论坛。
x32dbg修改特征码
最新发布
12-25
x32dbg是一款功能强大的逆向工程调试器,可以用来进行软件的逆向分析和修改。要修改特征码,首先需要打开目标程序并在x32dbg中进行加载。然后通过x32dbg的“搜索”功能找到目标程序中的特征码。可以使用“搜索内存”或“搜索模块”来定位特征码的位置。找到特征码后,可以使用x32dbg提供的“编辑”功能来修改特征码的数值。修改完成后可以通过“保存”功能保存对程序的修改。最后可以通过x32dbg提供的“运行”功能来验证修改后的特征码是否起作用。 需要注意的是,在修改特征码时要谨慎操作,因为错误的修改可能会导致程序崩溃或出现不可预测的行为。建议在进行特征码修改时,先备份目标程序,以防出现意外情况。另外,在对特征码进行修改时,最好是有一定的逆向工程和汇编语言基础,这样才能更加准确地理解和修改特征码。 总的来说,x32dbg是一个强大的逆向工程调试器,可以用来修改特征码。通过仔细的搜索和编辑功能,可以对目标程序中的特征码进行修改。但需要注意谨慎操作,并且最好有一定的逆向工程基础才能进行准确的修改

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qq_40793198

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值