[原创]内存补丁编写之金盾V2016机器码Patch(有码)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]内存补丁编写之金盾V2016机器码Patch(有码)

发表于: 2013-12-14 10:43 52274

[原创]内存补丁编写之金盾V2016机器码Patch(有码)

我是小三

2013-12-14 10:43

52274

//Hook CreateFileW 
DWORD WINAPI Hook()
{

	HMODULE handle = LoadLibrary("kernel32.dll");
	if (NULL == handle)
	{
		MessageBox(NULL,"加载动态库出错.","提示",MB_OK);
		return 0;
	}


	g_My_CreateFileW = (DWORD)GetProcAddress(handle,"CreateFileW");
	if (NULL == g_My_CreateFileW)
	{
		MessageBox(NULL,"获取函数地址出错.","提示",MB_OK);
		return 0;
	}

	//目标地址 - 源地址 - 5 

	BYTE szJump_CreateFileW[5] = {0xe9};
	DWORD dwJump_CreateFileW = (DWORD)My_CreateFileW - g_My_CreateFileW - 5;
	memcpy(&szJump_CreateFileW[1], &dwJump_CreateFileW, 4);


	DWORD dwOldProtect = 0;
	VirtualProtect((void*)g_My_CreateFileW, 0x1000, PAGE_EXECUTE_READWRITE, &dwOldProtect);
	memcpy((void*)g_My_CreateFileW, szJump_CreateFileW, 5);
	g_Old_CreateFileW = g_My_CreateFileW + 5;
	return 1;
}

//搜索特征码 :
//StartAddress:开始搜索的地址 code:特征码 len:特征码长度
DWORD SearchSignature(ULONG StartAddress,BYTE * code, DWORD len)
{
	ULONG	u_index;

	BYTE	*p = (BYTE*)StartAddress;

	for (u_index = 0;u_index < 0x300;u_index++)
	{
		if ( memcmp(p,code, len) == 0 )
		{
			return (DWORD)p+len;
		}

		p++;
	}

	return 0;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

1.jpg （24.29kb，46次下载）
2.jpg （28.85kb，17次下载）
3.jpg （35.16kb，25次下载）
4.jpg （30.63kb，18次下载）
5.jpg （52.38kb，16次下载）
6.jpg （13.65kb，15次下载）
7.jpg （39.44kb，16次下载）
8.jpg （52.40kb，26次下载）
bin.rar （23.83kb，919次下载）
JD2016.rar （35.03kb，968次下载）
10.jpg （93.81kb，32次下载）
11.jpg （74.18kb，25次下载）

收藏・64

免费・7

支持

最新回复 (51) 1 2 3 ▶
寒江雪语雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	寒江雪语 2 楼 mark 学习了 2013-12-14 11:15 0
pxhb 雪币： 6401 活跃值： (4376) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 20 关注私信	pxhb 2 3 楼收藏一份 2013-12-14 11:25 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 4 楼啊哈哈哈哈哈哈哈哈,硬中断 2013-12-14 11:30 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 5 楼好帖子适合菜鸟啊多谢LZ 2013-12-14 11:45 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 6 楼 LZ好喜欢用VEH~ 2013-12-14 12:12 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 7 楼求OD... 2013-12-14 15:04 0
wxq 雪币： 498 活跃值： (1552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 212 粉丝 1 关注私信	wxq 8 楼同求啊、 2013-12-14 15:20 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 9 楼好帖子来看看 2013-12-14 16:20 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 10 楼 VEH巧用可以藐视很多检测，师傅你跟我说过的话你忘了吗，请按时吃药不要放弃治疗 2013-12-14 20:30 0
bansjs 雪币： 1956 活跃值： (1724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	bansjs 11 楼这么快，楼主就取消了分享呀，求od呀 2013-12-14 21:58 0
china 雪币： 3612 活跃值： (4142) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 12 楼 LZ提供的网盘里的OD已经连接失效了。建议小三把文章里的软件和加密视频传到百度网盘等地方。这个对应的加密视频也不知道从哪获取。麻烦LZ辛苦下，提供下，方便大伙学习使用。 2013-12-14 22:47 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 13 楼呵呵。。不知道为什么会自动取消了分享. 2013-12-15 09:07 0
china 雪币： 3612 活跃值： (4142) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 14 楼感谢小三的说明和文件分享。我昨天晚上自己加密用屏幕录象专家录制的视频，默认选择，混淆加密，都不能正常加密，郁闷了。下回OD来，NOD报了很多文件有毒。 2013-12-15 12:52:57 文件系统实时防护文件 F:\OD\^0^-Fly\Plugin\fakevmp.dll Win32/Packed.VMProtect.AAH 特洛伊木马的变种通过删除清除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\TestDebugger.EXE Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\Test(OutPutDebugString).exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\exceod(UnhExcFlt).exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\COOL for XP.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\^0^-Fly.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:55 文件系统实时防护文件 F:\OD\^0^-Fly\ollydbg.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:55 文件系统实时防护文件 F:\OD\^0^-Fly\loaddll.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:49:58 HTTP 过滤器文件 http://bbs.pediy.com/attachment.php?attachmentid=85201&d=1387068072 Win32/Agent.DP 病毒连接中断 - 已隔离 CHINA\Admin 通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe. 应该是FLY修改的OD。 2013-12-15 12:50 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 15 楼我是在虚拟机里玩的。。od也是在网上下载的。。 2013-12-15 13:22 0
tzl 雪币： 234 活跃值： (1649) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 16 楼感谢小三的好文章。 2013-12-15 20:37 0
abincn 雪币： 264 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	abincn 17 楼学习了，谢谢.. 2013-12-15 21:55 0
china 雪币： 3612 活跃值： (4142) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 18 楼没事，大家可以再找下其他版本的OD/ 2013-12-15 21:56 0
布拉莫斯雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	布拉莫斯 19 楼学习了，霸气侧漏！ 2013-12-16 17:10 0
菜鸟历险记雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	菜鸟历险记 20 楼请教楼主，金盾2014啥的A段数据头还原算法是什么呢！！！ 2013-12-16 20:58 0
wodexinren 雪币： 74 活跃值： (723) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 21 楼感谢分享，marks 2013-12-17 00:03 0
深水幽冥雪币： 14 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	深水幽冥 22 楼牛啊，这个真心可以收藏！ 2013-12-17 17:57 0
lynxtang 雪币： 1028 活跃值： (211) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	lynxtang 23 楼感谢楼主的码字，前来学习！ 2013-12-17 21:41 0
岁月静好雪币： 137 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	岁月静好 24 楼学习了，这个不错。 2013-12-20 05:55 0
程序原雪币： 10274 活跃值： (5148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 72 关注私信	程序原 25 楼用私密分享就好了 2013-12-20 08:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

我是小三

发帖

140

回帖

550

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) 1 2 3 ▶
寒江雪语雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	寒江雪语 2 楼 mark 学习了 2013-12-14 11:15 0
pxhb 雪币： 6401 活跃值： (4376) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 420 粉丝 20 关注私信	pxhb 2 3 楼收藏一份 2013-12-14 11:25 0
Aipsa 雪币： 19 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 122 粉丝 0 关注私信	Aipsa 4 楼啊哈哈哈哈哈哈哈哈,硬中断 2013-12-14 11:30 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 5 楼好帖子适合菜鸟啊多谢LZ 2013-12-14 11:45 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 6 楼 LZ好喜欢用VEH~ 2013-12-14 12:12 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 7 楼求OD... 2013-12-14 15:04 0
wxq 雪币： 498 活跃值： (1552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 212 粉丝 1 关注私信	wxq 8 楼同求啊、 2013-12-14 15:20 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 9 楼好帖子来看看 2013-12-14 16:20 0
sunflover 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 89 粉丝 0 关注私信	sunflover 10 楼 VEH巧用可以藐视很多检测，师傅你跟我说过的话你忘了吗，请按时吃药不要放弃治疗 2013-12-14 20:30 0
bansjs 雪币： 1956 活跃值： (1724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 54 粉丝 0 关注私信	bansjs 11 楼这么快，楼主就取消了分享呀，求od呀 2013-12-14 21:58 0
china 雪币： 3612 活跃值： (4142) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 12 楼 LZ提供的网盘里的OD已经连接失效了。建议小三把文章里的软件和加密视频传到百度网盘等地方。这个对应的加密视频也不知道从哪获取。麻烦LZ辛苦下，提供下，方便大伙学习使用。 2013-12-14 22:47 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 13 楼呵呵。。不知道为什么会自动取消了分享. 2013-12-15 09:07 0
china 雪币： 3612 活跃值： (4142) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 14 楼感谢小三的说明和文件分享。我昨天晚上自己加密用屏幕录象专家录制的视频，默认选择，混淆加密，都不能正常加密，郁闷了。下回OD来，NOD报了很多文件有毒。 2013-12-15 12:52:57 文件系统实时防护文件 F:\OD\^0^-Fly\Plugin\fakevmp.dll Win32/Packed.VMProtect.AAH 特洛伊木马的变种通过删除清除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\TestDebugger.EXE Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\Test(OutPutDebugString).exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\exceod(UnhExcFlt).exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\Test\COOL for XP.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:56 文件系统实时防护文件 F:\OD\^0^-Fly\^0^-Fly.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:55 文件系统实时防护文件 F:\OD\^0^-Fly\ollydbg.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:52:55 文件系统实时防护文件 F:\OD\^0^-Fly\loaddll.exe Win32/Agent.DP 病毒已删除 - 已隔离 CHINA\Admin 在应用程序新建的文件上发生事件: C:\WINDOWS\explorer.exe. 2013-12-15 12:49:58 HTTP 过滤器文件 http://bbs.pediy.com/attachment.php?attachmentid=85201&d=1387068072 Win32/Agent.DP 病毒连接中断 - 已隔离 CHINA\Admin 通过应用程序访问 web 时检测到威胁: C:\Program Files\Internet Explorer\iexplore.exe. 应该是FLY修改的OD。 2013-12-15 12:50 0
我是小三雪币： 3902 活跃值： (6025) 能力值： ( LV13，RANK：550 ) 在线值：发帖 30 回帖 140 粉丝 253 关注私信	我是小三 11 15 楼我是在虚拟机里玩的。。od也是在网上下载的。。 2013-12-15 13:22 0
tzl 雪币： 234 活跃值： (1649) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 16 楼感谢小三的好文章。 2013-12-15 20:37 0
abincn 雪币： 264 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	abincn 17 楼学习了，谢谢.. 2013-12-15 21:55 0
china 雪币： 3612 活跃值： (4142) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 18 楼没事，大家可以再找下其他版本的OD/ 2013-12-15 21:56 0
布拉莫斯雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	布拉莫斯 19 楼学习了，霸气侧漏！ 2013-12-16 17:10 0
菜鸟历险记雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	菜鸟历险记 20 楼请教楼主，金盾2014啥的A段数据头还原算法是什么呢！！！ 2013-12-16 20:58 0
wodexinren 雪币： 74 活跃值： (723) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 21 楼感谢分享，marks 2013-12-17 00:03 0
深水幽冥雪币： 14 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 40 粉丝 0 关注私信	深水幽冥 22 楼牛啊，这个真心可以收藏！ 2013-12-17 17:57 0
lynxtang 雪币： 1028 活跃值： (211) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 97 粉丝 0 关注私信	lynxtang 23 楼感谢楼主的码字，前来学习！ 2013-12-17 21:41 0
岁月静好雪币： 137 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	岁月静好 24 楼学习了，这个不错。 2013-12-20 05:55 0
程序原雪币： 10274 活跃值： (5148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 72 关注私信	程序原 25 楼用私密分享就好了 2013-12-20 08:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复