逆向工程核心原理20章内嵌补丁练习学习笔记

最新推荐文章于 2022-04-18 00:56:47 发布
最新推荐文章于 2022-04-18 00:56:47 发布
阅读量421 收藏
点赞数
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_lit0/article/details/82895823
版权

导航

0X00 分析程序

破解小程序:https://download.csdn.net/download/z_lit0/10695096
运行程序观察程序:
在这里插入图片描述
在这里插入图片描述
根据提示可知道需要破解的地方为这俩字符串,将程序加载到od中观察:
在这里插入图片描述
看到pushad,尝试在popad处下断点:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
发现程序并没有断下,那只好单步执行看看:
运行到0040109B函数,可以发现进入了一个解密循环,主要是使用xor 44解密ebx指向的地址
在这里插入图片描述
继续单步执行到004010BD函数又看见程序执行了两个解密循环,第二个解密循环解密的区域是ebx指向地址00401007和上面的004010F5不同区域。
在这里插入图片描述
第三个解密循环如下图又是和第一个解密循环相同的解密区域,说明进行双重加密操作。
在这里插入图片描述
继续运行遇到如下经过解密后的区域函数00401039:
在这里插入图片描述
位于00401046处循环,先取ebx指向地址004010F5的4个字节(004010F5即我们上面分析的双重加密过后的区域)和累加器edx(第一次为0)相加后保存在edx中,循环结束后,将004010F5的特征值记录到edx中,(其实就是加加加后的值的,即edx溢出后的值)
在这里插入图片描述
可以发现程序使用固定的值31eb8db0来比较,不相等就推出程序
在这里插入图片描述

0X01 破解程序

在这里插入图片描述
发现程序调用了DialogBox,可以推测004010F5存储着字符串:
在这里插入图片描述
于是可以在空白区域内嵌补丁:
在这里插入图片描述
在这里插入图片描述
写好补丁,还要改下入口跳转函数,先跳转执行补丁代买再执行004011A2处的跳转跳转到真实区域。
在这里插入图片描述
修改之后还有在文件修改因为该区域经过了xor加密,不能直接写入需要转化一下,
E9 xor 7 = EE
F8 xor 7 = FF
01 xor 7 = 06
RVA = 00401083- 400000(imagebase) = 1083
根据pe view可知位于第一节区,第一节区的PointToRawData为400,VA = 1000
所以文件偏移为1083-1000+400 = 483
在这里插入图片描述
修改之后保存运行:
在这里插入图片描述
在这里插入图片描述

lit0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C指针原理教程之C内嵌汇编
08-26
学习 C 语言内嵌汇编的实验过程中,发现内嵌汇编极容易造成段错误。
逆向工程核心原理----第二十章内嵌补丁练习
qq_55785697的博客
04-12 209
内嵌补丁这种方法适合于不便直接修改指定的代码,比如程序中含有校验函数,加解密函数等等。 一、分析源程序 用ollydbg打开unpackme.exe
逆向工程核心原理20内嵌补丁
m0_62690279的博客
04-18 277
逆向工程核心原理20内嵌补丁 内嵌补丁存在的原因 由于一些程序(运行时解压缩、加密文件)需要打补丁时,难以修改指定的代码 为了修改它们, 插入额外的“洞穴代码” (程序运行同时运行这个额外代码), 来达到打补丁的效果 原理图: 书中示例的patchme程序 确定 调试分析 EP: 10E9是输出对话框的函数,跟进看看 同样跟进里面的call……9B函数 发现三个用于解码循环语句 是一个解密代码(A3~AD) 对4010f5 ~ 4010f5+154(40f1248) 的区域进行 xor 4
逆向工程核心原理》第20——“内嵌补丁练习
diamond_biu的博客
12-23 366
11
逆向工程核心原理20patchme内嵌补丁实践
h123120的专栏
04-18 931
一、前期准备本次要破解的是《逆向工程核心原理》书本中提到的patchme程序(一)、程序很简单,只有两个窗口             程序很简单,但是字符串在程序中都被加密了,所以稍微有点麻烦。二、破解过程(一)、使用x32dbg载入程序,按F9跳转到入口点。(二)步入第一个call调用(三)按f8步进来到40109B处仔细分析这段代码,会发现这段代码的是第一轮解密代码,对004010F5到004...
逆向核心原理第二十章 内嵌补丁 与教科书不同的另一种打补丁方式
qq_39921539的博客
11-17 176
逆向核心原理第二十章 内嵌补丁 与教科书不同的另一中打补丁方式 在逆向核心原理中,第二十章的实验是调试patchme 见下图1           图1 最后实验的结果: 书上的思路是修改跳入OEP的jmp指令,以此来插入自己的代码,但是这部分的指令是被加密过的,所以修改它时要手动做加密,十分麻烦。 所以我想出了一个更好的办法:因为我们要插入字符串,而字符串是被加密的,而且后面还有校验检查代码是否被改动,所以我们的代码一定要插入在解密和校验之后运行的地...
C#学习笔记12:Winform网页操作-CefSharp内嵌浏览器
最新发布
05-10
今日学习使用Winform操作网页,先从从窗体内嵌一个浏览器开始吧: 文提供测试代码讲解、测试效果图、整体测试工程下载
springboot学习笔记.docx
04-08
spring boot 最全的学习笔记 简介:spring boot 简化了J2EE企业级开发,内嵌tomcat容易,能快速开发spring 应用程序,快速部署, 简化了集成其它应用框架的流程,是spring全家桶和一站式解决方案。 Spring Boot...
php 学习笔记第1/2页
12-17
PHP概述: php是Hypertext ...php是起源于自由软件,即开源软件, 使用php进行web应用程序的开发具有安全性高、跨平台特性、支持广泛的数据库、易学性、执行速度快、成本低、模板化、支持面向对象、内嵌Zend加速引擎,
Bootstrap学习笔记 轮播(Carousel)插件
12-12
除此之外,内容也是足够灵活的,可以是图像、内嵌框架、视频或者其他您想要放置的任何类型的内容。如果您想要单独引用该插件的功能,那么您需要引用 carousel.js,或者bootstrap.js 或压缩版的 bootstrap.min.js。 &...
YasDebugger_内核调试器源码
09-26
YasDebugger_内核调试器源码,包含全部源代码文件,可直接编译
易语言调试器操作
07-21
易语言调试器操作源码,调试器操作,ReadDeBugPort,WriteDeBugPort,GetApiAddress,GetCurrentProcessId,GetTextAddr,GetByteAddr,GetEProcess,GetDeBugPortoffet,StrToInt64ExA,ZwQuerySystemInformation,RtlMoveMemory3,RtlMoveMemory2,NtQuerySystemInformati
OD调试器源码
09-18
某大神写的OD调试器源码,非常不错,可以借鉴一下,另一个里面有编译成品
XjunDbg调试器
10-08
OD动态调试器过检测个人版本,xiaojun大牛个人版调试器
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
逆向工程核心原理学习笔记——内嵌补丁
何不提剑起,壶酒天涯路
08-27 333
内嵌补丁(Inline Patch) 它是“内嵌代码补丁“(Inline Code Patch)的简称。常用于对象程序经过运行时压缩(加密处理)而难以修改的情况。 运行时压缩代码的Ep代码先将加密的OEP代码解密,然后再跳转到OEP代码处。 内嵌补丁在文件设置被称为“洞穴代码”的“补丁代码”,在EP代码解密后修改JMP指令跳转到洞穴代码的运行。   把特定地址区域的值加和后存储到寄存器中,...
逆向工程核心原理内嵌补丁
wangtiankuo的博客
07-02 482
1.1       源程序分析第一次解密4010F5,与0x44异或解密401007,与0x7异或,一直到0x401086第二次解密4010F5,与0x11异或。将4010F5处的内容累加得到校验和,与0x31EB8DB0作比较,来判断代码/数据是否被改动过。下图是我们将要修改的字符串。分别位于0x40110A和0x401123        解密代码。1.2       内嵌补丁思路:解密结束后...
Yas V1.22中文
10-26
Yas Kit 是一款基于内核和底层技术的反黑辅助工具..它采用大量的内核技术和底层操作,让你可以轻松的找出病毒并且杀之...它适用于XP和2003系统..当然使用Yas Kit需要用户具备一定相关的知识... 注意: Yas的正常运行依赖于 sysdll_2006.dll和Sysnap_2006.sys...程序运行时会在system32目录下释放这俩个文件..一些主动防御系统会视为病毒.可以不理会之..还有NOD也会误报,添加信任程序就可以了
hidekd 隐藏调试器
02-26
HideKd v0.1 Hide WinDbg、KD from detected. Load 1、Use KmdManager.exe to load HideKd.sys. 2、Enjoy yourself History v0.1 Skip KdDebuggerEnabled,KdEnteredDebugger detect. Skip SharedUserData->KdDebuggerEnabled detect. Skip NtQuerySystemInformation detect.
Springboot核心原理
04-29
Spring Boot是基于Spring框架的一个快速开发的框架,其核心原理可以归纳为以下几点: 1. 自动配置:Spring Boot通过自动配置来简化开发过程。在启动应用时,Spring Boot会根据类路径下的jar包、配置文件和注解来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值