[原创]学写内存补丁(初级版) - 修正-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]学写内存补丁(初级版) - 修正

发表于: 2007-6-30 14:58 13048

[原创]学写内存补丁(初级版) - 修正

KuNgBiM

2007-6-30 14:58

13048

【文章标题】: 学写内存补丁(初级版)
【文章作者】: KuNgBiM
【作者邮箱】: kungbim@163.com
【作者主页】: http://www.crkcn.com
【软件名称】: QQ聊天记录查看器 5.3
【软件大小】: 648KB
【下载地址】: 自己下载
【加壳方式】: N/A
【保护方式】: 序列号
【编写语言】: Borland Delphi 6.0 - 7.0
【使用工具】: OD、RadASM、Masm32
【操作平台】: 盗版XPsp2
【软件介绍】: 可以不用密码查看QQ聊天记录.
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  我们在玩破解的时候,经常会见到今天象目标这样的软柿子:

  004862DC > $  55             push ebp                         ;  OD载入停在这里
  004862DD .  8BEC          mov    ebp, esp
  004862DF .  83C4 F0       add    esp, -10
  004862E2 .  B8 B4604800    mov    eax, 004860B4
  004862E7 .  E8 B403F8FF    call 004066A0
  004862EC .  A1 F88A4800    mov    eax, dword ptr [488AF8]
  004862F1 .  8B00          mov    eax, dword ptr [eax]
  004862F3 .  E8 E81EFDFF    call 004581E0
  004862F8 .  33C9          xor    ecx, ecx
  004862FA .  B2 01          mov    dl, 1
  004862FC .  A1 80F34600    mov    eax, dword ptr [46F380]
  00486301 .  E8 52A9FCFF    call 00450C58
  00486306 .  8B15 E88A4800 mov    edx, dword ptr [488AE8]    ;  QQlogger.00489CF4
  0048630C .  8902          mov    dword ptr [edx], eax
  0048630E .  A1 E88A4800    mov    eax, dword ptr [488AE8]
  00486313 .  8B00          mov    eax, dword ptr [eax]
  00486315 .  8B10          mov    edx, dword ptr [eax]
  00486317 .  FF92 E8000000 call dword ptr [edx+E8]
  0048631D .  A1 E88A4800    mov    eax, dword ptr [488AE8]
  00486322 .  8B00          mov    eax, dword ptr [eax]
  00486324 .  E8 E7D1F7FF    call 00403510
  00486329 .  A1 F8884800    mov    eax, dword ptr [4888F8]    ;  是否选择了QQ号码
  0048632E .  8338 00       cmp    dword ptr [eax], 0
  00486331 .  74 69          je    short 0048639C
  00486333 .  A1 D0884800    mov    eax, dword ptr [4888D0]    ;  程序是否注册过
  00486338 .  8338 00       cmp    dword ptr [eax], 0
  0048633B .  75 3B          jnz    short 00486378             ;  如果程序注册过这里发生跳转！（75 --> EB）
  0048633D .  33C9          xor    ecx, ecx
  0048633F .  B2 01          mov    dl, 1
  00486341 .  A1 ECE94600    mov    eax, dword ptr [46E9EC]
  00486346 .  E8 0DA9FCFF    call 00450C58
  0048634B .  8B15 F08B4800 mov    edx, dword ptr [488BF0]    ;  QQlogger.00489CE4
  00486351 .  8902          mov    dword ptr [edx], eax
  00486353 .  A1 F08B4800    mov    eax, dword ptr [488BF0]
  00486358 .  8B00          mov    eax, dword ptr [eax]
  0048635A .  8B10          mov    edx, dword ptr [eax]
  0048635C .  FF92 E8000000 call dword ptr [edx+E8]
  00486362 .  A1 F08B4800    mov    eax, dword ptr [488BF0]
  00486367 .  8B00          mov    eax, dword ptr [eax]
  00486369 .  E8 A2D1F7FF    call 00403510
  0048636E .  A1 D0884800    mov    eax, dword ptr [4888D0]
  00486373 .  8338 00       cmp    dword ptr [eax], 0
  00486376 .  74 24          je    short 0048639C
  00486378 >  8B0D 008B4800 mov    ecx, dword ptr [488B00]    ;  到这里就来到程序主窗体
  0048637E .  A1 F88A4800    mov    eax, dword ptr [488AF8]
  00486383 .  8B00          mov    eax, dword ptr [eax]
  00486385 .  8B15 DC384800 mov    edx, dword ptr [4838DC]    ;  QQlogger.00483928
  0048638B .  E8 681EFDFF    call 004581F8
  00486390 .  A1 F88A4800    mov    eax, dword ptr [488AF8]
  00486395 .  8B00          mov    eax, dword ptr [eax]

  我们根据以上分析很显然得出只要将0048633B处的：
  jnz 00486378 改为 jmp 00486378 就可以完成该软件的破解。
  我们得知该地址中指令jnz对应的机器码是75，而我们需要修改的指令jmp对应的机器码是EB，所以我们可以编写一个简单的补丁程序：
  （这种是最简陋的内存补丁方式，不支持加壳后的程序，因为加壳后的程序有很多代码都是在壳中解码出来的。）

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

QQloggerloader.rar （263.20kb，115次下载）

收藏・7

免费・7

支持

最新回复 (24)
河边渔者雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 276 粉丝 0 关注私信	河边渔者 1 2 楼刚上来就看到这么好的文章，顶呀…… 2007-6-30 15:51 0
河边渔者雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 276 粉丝 0 关注私信	河边渔者 1 3 楼 ……期待续集…… 2007-6-30 15:57 0
ToBeVIP 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	ToBeVIP 4 楼跟随学习再说~~ 2007-7-2 01:46 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 5 楼帮老K灌一水,`顶 2007-7-3 09:11 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 6 楼跟随学习……期待续集…… 2007-7-3 10:40 0
flyfoxqq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 67 粉丝 0 关注私信	flyfoxqq 7 楼怎么都这么优秀呢！呵呵！佩服！呵呵！ 2007-7-5 11:29 0
kflnig 雪币： 314 活跃值： (10) 能力值： ( LV12，RANK：570 ) 在线值：发帖 60 回帖 237 粉丝 0 关注私信	kflnig 14 8 楼我小K也来占个位置.我也正在写此类文章!PATH,LOADER等等 2007-7-5 13:34 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 9 楼学习一下！ 2007-7-5 15:31 0
kbbs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	kbbs 10 楼学习.... 2007-7-5 22:33 0
sytjnh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	sytjnh 11 楼新手，学习中 2007-7-5 22:55 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 12 楼学习学习。。。 2007-7-7 21:51 0
qjie 雪币： 204 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	qjie 13 楼代码风格不错啊 2007-7-8 10:33 0
yxylzm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	yxylzm 14 楼我也想做个程序的内存补丁,就是不会写 2007-8-9 14:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 15 楼 fuck 匈牙利命名 in asm 2007-8-9 15:42 0
yywd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	yywd 16 楼 [QUOTE=;]...[/QUOTE] 跟随学习……期待续集…… 2007-8-9 17:19 0
modi 雪币： 158 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 233 粉丝 0 关注私信	modi 17 楼顶起来,... 2007-8-9 19:47 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 18 楼好文,支持! 练习练习!~````` 2007-8-10 08:00 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 19 楼才发现老K的这么好的补丁文章呀学习汇编的好东东啊 2007-8-10 12:28 0
yywd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	yywd 20 楼用RadAS2.11无法编译构建, 提示如下 Assembling: C:\Documents and Settings\Administrator\My Documents\MemPatcher1.asm C:\Documents and Settings\Administrator\My Documents\MemPatcher1.asm(17) : fatal error A1000: cannot open file : \masm32\include\windows.inc 望您指导一下,谢谢 2007-8-10 17:50 0
回忆的雪币： 211 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 21 楼学习下呢``` 2007-8-10 18:01 0
ssgdtf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	ssgdtf 22 楼呵呵！佩服！呵呵 2007-8-12 00:12 0
nplaosan 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	nplaosan 23 楼强啊真的很强 2007-8-12 14:39 0
huig 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	huig 24 楼哇，这么厉害啊，研究一下。 2007-8-13 11:08 0
wuhanqi 雪币： 324 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 24 回帖 91 粉丝 0 关注私信	wuhanqi 5 25 楼这个补丁是用什么写的啊！ 2007-8-14 16:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KuNgBiM

500

发帖

2517

回帖

2670

RANK

关注

私信

他的文章

PrimoCache.Server.Edition.0.9.9(Beta)-Cracked 5858

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
河边渔者雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 276 粉丝 0 关注私信	河边渔者 1 2 楼刚上来就看到这么好的文章，顶呀…… 2007-6-30 15:51 0
河边渔者雪币： 164 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 276 粉丝 0 关注私信	河边渔者 1 3 楼 ……期待续集…… 2007-6-30 15:57 0
ToBeVIP 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	ToBeVIP 4 楼跟随学习再说~~ 2007-7-2 01:46 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 5 楼帮老K灌一水,`顶 2007-7-3 09:11 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 6 楼跟随学习……期待续集…… 2007-7-3 10:40 0
flyfoxqq 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 67 粉丝 0 关注私信	flyfoxqq 7 楼怎么都这么优秀呢！呵呵！佩服！呵呵！ 2007-7-5 11:29 0
kflnig 雪币： 314 活跃值： (10) 能力值： ( LV12，RANK：570 ) 在线值：发帖 60 回帖 237 粉丝 0 关注私信	kflnig 14 8 楼我小K也来占个位置.我也正在写此类文章!PATH,LOADER等等 2007-7-5 13:34 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 9 楼学习一下！ 2007-7-5 15:31 0
kbbs 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	kbbs 10 楼学习.... 2007-7-5 22:33 0
sytjnh 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	sytjnh 11 楼新手，学习中 2007-7-5 22:55 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 12 楼学习学习。。。 2007-7-7 21:51 0
qjie 雪币： 204 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	qjie 13 楼代码风格不错啊 2007-7-8 10:33 0
yxylzm 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	yxylzm 14 楼我也想做个程序的内存补丁,就是不会写 2007-8-9 14:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 15 楼 fuck 匈牙利命名 in asm 2007-8-9 15:42 0
yywd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	yywd 16 楼 [QUOTE=;]...[/QUOTE] 跟随学习……期待续集…… 2007-8-9 17:19 0
modi 雪币： 158 活跃值： (43) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 233 粉丝 0 关注私信	modi 17 楼顶起来,... 2007-8-9 19:47 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 18 楼好文,支持! 练习练习!~````` 2007-8-10 08:00 0
bwin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 0 关注私信	bwin 19 楼才发现老K的这么好的补丁文章呀学习汇编的好东东啊 2007-8-10 12:28 0
yywd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	yywd 20 楼用RadAS2.11无法编译构建, 提示如下 Assembling: C:\Documents and Settings\Administrator\My Documents\MemPatcher1.asm C:\Documents and Settings\Administrator\My Documents\MemPatcher1.asm(17) : fatal error A1000: cannot open file : \masm32\include\windows.inc 望您指导一下,谢谢 2007-8-10 17:50 0
回忆的雪币： 211 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 21 楼学习下呢``` 2007-8-10 18:01 0
ssgdtf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	ssgdtf 22 楼呵呵！佩服！呵呵 2007-8-12 00:12 0
nplaosan 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 66 粉丝 0 关注私信	nplaosan 23 楼强啊真的很强 2007-8-12 14:39 0
huig 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	huig 24 楼哇，这么厉害啊，研究一下。 2007-8-13 11:08 0
wuhanqi 雪币： 324 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 24 回帖 91 粉丝 0 关注私信	wuhanqi 5 25 楼这个补丁是用什么写的啊！ 2007-8-14 16:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复