-
-
[求助]卡壳了.关于r3隐藏模块
-
发表于: 2016-6-26 11:28
-
BOOL 恢复原始内存数据()
{
__asm{int 3}
if (VirtualAlloc(旧模块地址, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE) == 0)
{
char msg[256];
sprintf_s(msg, "分配信息表地址失败:%d", GetLastError());
MessageBoxA(NULL, msg, "caption", 0);
return FALSE;
}
memcpy(旧模块地址, 临时信息表地址, 4096);
for (int i = 0; i < 块数;i++)
{
if (VirtualAlloc((PVOID)(旧块地址[i]), 旧块尺寸[i], MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE) == 0)
{
char msg[256];
sprintf_s(msg, "分配块地址失败:%d", GetLastError());
MessageBoxA(NULL, msg, "caption", 0);
return FALSE;
}
memcpy((PVOID)(旧块地址[i]), 临时块表地址[i], 旧块尺寸[i]);
}
return TRUE;
}
第一步先复制了模块数据到临时地址里
第二步FreeLibrary了旧模块
第三步(出错了)在申请节地址时提示错误487
卡了两天了,万般无奈上网求助
{
__asm{int 3}
if (VirtualAlloc(旧模块地址, 4096, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE) == 0)
{
char msg[256];
sprintf_s(msg, "分配信息表地址失败:%d", GetLastError());
MessageBoxA(NULL, msg, "caption", 0);
return FALSE;
}
memcpy(旧模块地址, 临时信息表地址, 4096);
for (int i = 0; i < 块数;i++)
{
if (VirtualAlloc((PVOID)(旧块地址[i]), 旧块尺寸[i], MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE) == 0)
{
char msg[256];
sprintf_s(msg, "分配块地址失败:%d", GetLastError());
MessageBoxA(NULL, msg, "caption", 0);
return FALSE;
}
memcpy((PVOID)(旧块地址[i]), 临时块表地址[i], 旧块尺寸[i]);
}
return TRUE;
}
第一步先复制了模块数据到临时地址里
第二步FreeLibrary了旧模块
第三步(出错了)在申请节地址时提示错误487
卡了两天了,万般无奈上网求助
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
