首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]为什么内存不能修改(更改后马上还原)
2013-9-23 14:21 7192

[求助]为什么内存不能修改(更改后马上还原)

PPTV 活跃值
2013-9-23 14:21
7192
求助大神:为什么有的内存不能更改(修改后马上还原),这是用的什么技术?是在CPU处拦截的吗?下面标记处不能修改。另外这是CRC的检验代码吗,看着像啊。
0693F6B0 - 80 69 67 FF           - sub byte ptr [ecx+67],-01
0693F6B4 - FF                    - db -01
0693F6B5 - FF                    - db -01
0693F6B6 - FF                    - db -01
0693F6B7 - FF 00                 - inc [eax]
0693F6B9 - 00 00                 - add [eax],al
0693F6BB - 00 B0 F6930690        - add [eax-6FF96C0A],dh
0693F6C1 - F6 93 06000000        - not byte ptr [ebx+00000006]
0693F6C7 - 00 DC                 - add ah,bl
0693F6C9 - FF 53 F8              - call dword ptr [ebx-08]
0693F6CC - C0 9A 837C6024 80     - rcr byte ptr [edx+24607C83],-80[COLOR="SeaGreen"]//这里无法修改[/COLOR]
0693F6D3 - 7C 00                 - jnge 0693F6D5
0693F6D5 - 00 00                 - add [eax],al
0693F6D7 - 00 E8                 - add al,ch
0693F6D9 - F6 93 067509B0        - not byte ptr [ebx-4FF68AFA]
0693F6DF - 05 E8030000           - add eax,000003E8
0693F6E4 - 00 00                 - add [eax],al
0693F6E6 - 00 00                 - add [eax],al
0693F6E8 - B4 FF                 - mov ah,-01
0693F6EA - 93                    - xchg eax,ebx
0693F6EB - 06                    - push es
0693F6EC - FF 54 DE 04           - call dword ptr [esi+ebx*8+04]
0693F6F0 - E8 030000F8           - call FE93F6F8
0693F6F5 - B1 56                 - mov cl,56
0693F6F7 - 05 00000000           - add eax,00000000
0693F6FC - 04 00                 - add al,00
0693F6FE - 00 00                 - add [eax],al
0693F700 - 00 DC                 - add ah,bl
0693F702 - F8                    - clc 
0693F703 - 7F 00                 - jg 0693F705
0693F705 - 00 08                 - add [eax],cl
0693F707 - 02 28                 - add ch,[eax]
0693F709 - F9                    - stc 
0693F70A - 93                    - xchg eax,ebx
0693F70B - 06                    - push es
0693F70C - 00 00                 - add [eax],al
0693F70E - 08 02                 - or [edx],al
0693F710 - 20 F7                 - and bh,dh
0693F712 - 93                    - xchg eax,ebx
0693F713 - 06                    - push es
0693F714 - 00 00                 - add [eax],al
0693F716 - 00 00                 - add [eax],al
0693F718 - 00 00                 - add [eax],al
0693F71A - 00 00                 - add [eax],al
0693F71C - 00 00                 - add [eax],al
0693F71E - 80 7C 00 00 00        - cmp byte ptr [eax+eax+00],00
0693F723 - 00 18                 - add [eax],bl
0693F725 - 00 1A                 - add [edx],bl
0693F727 - 00 00                 - add [eax],al
0693F729 - DCF8                  - fdiv st(0),st(0)
0693F72B - 7F 00                 - jg 0693F72D
0693F72D - 00 08                 - add [eax],cl
0693F72F - 02 50 F9              - add dl,[eax-07]
0693F732 - 93                    - xchg eax,ebx
0693F733 - 06                    - push es
0693F734 - 00 00                 - add [eax],al
0693F736 - 08 02                 - or [edx],al
0693F738 - 48                    - dec eax
0693F739 - F7 93 06000000        - not [ebx+00000006]
0693F73F - 00 00                 - add [eax],al
0693F741 - 00 00                 - add [eax],al
0693F743 - 00 00                 - add [eax],al
0693F745 - 00 80 7C000000        - add [eax+0000007C],al
0693F74B - 00 00                 - add [eax],al

[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

收藏
点赞0
打赏
分享
最新回复 (12)
PPTV
雪    币: 9088
活跃值: (1971)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PPTV 2013-9-23 14:28
2
0
//代码用CE提取的,很多时候是这个样子
0691F6B0 - 80 69 67 FF - sub byte ptr [ecx+67],-01
0691F6B4 - FF - db -01
0691F6B5 - FF - db -01
0691F6B6 - FF - db -01
0691F6B7 - FF 68 FF - jmp far [eax-01]
0691F6BA - 91 - xchg eax,ecx
0691F6BB - 06 - push es
0691F6BC - B0 F6 - mov al,-0A
0691F6BE - 91 - xchg eax,ecx
0691F6BF - 06 - push es
0691F6C0 - 90 - nop 
0691F6C1 - F6 91 06D8F691 - not byte ptr [ecx-6E0927FA]
0691F6C7 - 06 - push es
0691F6C8 - DCFF - fdiv st(7),st(0)
0691F6CA - 91 - xchg eax,ecx
0691F6CB - 06 - push es
0691F6CC - C0 9A 837C6024 80 - rcr byte ptr [edx+24607C83],-80[COLOR="SeaGreen"]//这里[/COLOR]
0691F6D3 - 7C 00 - jnge 0691F6D5
0691F6D5 - 00 00 - add [eax],al
0691F6D7 - 00 E8 - add al,ch
0691F6D9 - F6 91 06E609AE - not byte ptr [ecx-51F619FA]
0691F6DF - 05 E8030000 - add eax,000003E8
0691F6E4 - 00 00 - add [eax],al
0691F6E6 - 00 00 - add [eax],al
0691F6E8 - B4 FF - mov ah,-01
0691F6EA - 91 - xchg eax,ecx
0691F6EB - 06 - push es
0691F6EC - FF 54 DE 04 - call dword ptr [esi+ebx*8+04]
0691F6F0 - E8 030000F8 - call FE91F6F8
0691F6F5 - B1 56 - mov cl,56
0691F6F7 - 05 00000000 - add eax,00000000
0691F6FC - 04 00 - add al,00
0691F6FE - 00 00 - add [eax],al
0691F700 - 00 DC - add ah,bl
0691F702 - F8 - clc 
0691F703 - 7F 00 - jg 0691F705
0691F705 - 00 08 - add [eax],cl
0691F707 - 02 28 - add ch,[eax]
0691F709 - F9 - stc 
0691F70A - 91 - xchg eax,ecx
0691F70B - 06 - push es
0691F70C - 00 00 - add [eax],al
0691F70E - 08 02 - or [edx],al
0691F710 - 20 F7 - and bh,dh
0691F712 - 91 - xchg eax,ecx
0691F713 - 06 - push es
0691F714 - 00 00 - add [eax],al
0691F716 - 00 00 - add [eax],al
0691F718 - 00 00 - add [eax],al
0691F71A - 00 00 - add [eax],al
0691F71C - 00 00 - add [eax],al
0691F71E - 80 7C 00 00 00 - cmp byte ptr [eax+eax+00],00
0691F723 - 00 18 - add [eax],bl
0691F725 - 00 1A - add [edx],bl
0691F727 - 00 00 - add [eax],al
0691F729 - DCF8 - fdiv st(0),st(0)
0691F72B - 7F 00 - jg 0691F72D
0691F72D - 00 08 - add [eax],cl
0691F72F - 02 50 F9 - add dl,[eax-07]
0691F732 - 91 - xchg eax,ecx
0691F733 - 06 - push es
0691F734 - 00 00 - add [eax],al
0691F736 - 08 02 - or [edx],al
0691F738 - 48 - dec eax
0691F739 - F7 91 06000000 - not [ecx+00000006]
0691F73F - 00 00 - add [eax],al
0691F741 - 00 00 - add [eax],al
0691F743 - 00 00 - add [eax],al
0691F745 - 00 80 7C000000 - add [eax+0000007C],al
0691F74B - 00 00 - add [eax],al
0691F74D - 00 00 - add [eax],al
汤姆caroline
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
汤姆caroline 2013-9-23 14:31
3
0
是否在保护模式下??
NCFZ
雪    币: 280
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NCFZ 2013-9-23 15:43
4
0
写回去了
PPTV
雪    币: 9088
活跃值: (1971)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PPTV 2013-9-23 15:43
5
0
应该不在吧,我用Kernel Detective和CE都试了,都不行啊~
phpskycn
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
私信
phpskycn 1 2013-9-23 16:01
6
0
下个内存断点看看谁写入的就好啦
PPTV
雪    币: 9088
活跃值: (1971)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PPTV 2013-9-23 16:07
7
0
写回去的速度怎么那么快?我前改,后面马上就改回了,没它快啊~
PPTV
雪    币: 9088
活跃值: (1971)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PPTV 2013-9-23 16:10
8
0
呵呵,这是一个游戏的内存,还没过调试呢,下不了断点,这个地方是我注入HOOK了一些API找到的地,前面改,后面1秒就改回来,这是什么监视?
wstring
雪    币: 1453
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
wstring 2013-9-23 17:52
9
0
虽然不知道楼主说的是什么,但是貌似很厉害的样子
phpskycn
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
私信
phpskycn 1 2013-9-24 00:00
10
0
要么是用某种方式校验,要么就是直接定时覆盖
凉宫春日
雪    币: 77
活跃值: (40)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
凉宫春日 2013-9-25 02:29
11
0
写回去了.下一个写入断点吧
swlilike
雪    币: 89
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
swlilike 2013-9-25 08:02
12
0
你这个不是代码吧。 是内存。
内存返回的验证什么的呗。硬件断点试试
xingbing
雪    币: 177
活跃值: (1901)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xingbing 2013-10-5 12:39
13
0
下一个写入断点试试。
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回