能力值:
( LV2,RANK:10 )
|
-
-
2 楼
如果是dll可以直接
hDll = loadLibrary("xxx.dll");
TPF pfn = (TPF*)(hDll + call_offset);
ret = pfn(param);
如果是exe可以CreateProcess 注入一个dll 由这个dll调用call并返回result
还有方法就是asm全扒出来
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
dll会自动重定位基址,所以很简单,exe好像就麻烦的多吧,楼上的方法没试过,不知道是否行得通,
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
这是个EXE
2楼方法CteateProcess,也就是把目标程序启动了...
而这个程序我根本没脱壳,就是直接把整个EXE完整DUMP,不能运行,所以只能放资源里CALL
貌似确实很麻烦?一个一个修改不知道要修改哪一年
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
写个小程序自动改啊,难不倒人吧。
|
能力值:
( LV3,RANK:30 )
|
-
-
6 楼
自己写一个DLL 塞进去,然后调解密CALL,或者把解密部分的代码全部dump下来,然后修正下,自己写个EXE把dump后映射到内存里面去。然后在调
如果解密函数代码不长的话,不涉及到密匙生成或者数据交换处理的部分,还是自己扣出来内联吧!
|
能力值:
( LV5,RANK:60 )
|
-
-
7 楼
地址可以搜二进制,找特征码来定位
|
能力值:
( LV4,RANK:40 )
|
-
-
8 楼
自己搜索,记得以前论坛有人放过一个IDC脚本,专门处理这种的!
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
求指导,载入到资源估计地址会每次不一样的吧
我就是把整个程序DUMP下来了,放资源里等于是映射到内存,然后CALL,关键是 “修正下”。。。
这个解密CALL里有N个小CALL,所以不太好扒下来内嵌。。
不是那回事。。。
求衔接,我搜索了很久没搜到~~~
|
|
|
|
