首页
社区
课程
招聘
[求助]关于在内存中被改写过的程序 和 一个正常在内存中的程序 代码对比找出被修改的地方的问题 (2个程序都在OD打开后的程序入口点)
发表于: 2013-6-28 04:14 4636

[求助]关于在内存中被改写过的程序 和 一个正常在内存中的程序 代码对比找出被修改的地方的问题 (2个程序都在OD打开后的程序入口点)

2013-6-28 04:14
4636
具体情况是 有一个DLL 被替换了 然后程序读入假的DLL后 假DLL开始在很多地方地方HOOK
比喻程序代码本来是 mov,eax,1000的 被他改成JMP 2aaaaa 我想找出全部被他修改过的地方

请问有什么好方法? 求指导~~~~

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 1392
活跃值: (5152)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
2
如果是hot patch就。加载本地的原文件直接内存对比,如果本地文件被修改,只要文件大小没变其实也可以对比查出来
2013-6-28 06:55
0
雪    币: 1042
活跃值: (500)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
读一次源程序,再读一次修改后的程序,进行比较
2013-6-28 08:54
0
雪    币: 3277
活跃值: (1992)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
有专门的内存修改监视器。
2013-6-28 12:00
0
游客
登录 | 注册 方可回帖
返回
//