-
-
[求助]请问有人知道要怎么hook写内存代码或memdump吗?
-
发表于:
2008-1-6 20:09
6006
-
[求助]请问有人知道要怎么hook写内存代码或memdump吗?
1.软件被用藏经阁捆绑软件会员版捆绑。
2.OD载入捆绑后之程序,F9运行,捆绑后之程序将被捆绑软件解压到内存,并直接内存启动此软件,启动此软件后,OD中捆绑后之程序运行结束(OD运行结束),此时被捆绑软件已脱离捆绑后之程序独立运行。
3.OD重新载入捆绑后之程序,下任何断点,你会发现:断点只能断捆绑后之程序,而对被捆绑软件完全失效。
4.由于捆绑后之程序运行过程中直接把被捆绑软件解压到内存,所以你无法看到被捆绑软件的代码,你就无法对其进行分析,起到保护你软件的目的。是不是超强呀?朋友们,如果你的软件老被破解,请试试此方法:)
以下是高手的回复
'·.::Κūйɡβǐм::.·' :
根据情况,反之。。。。MemDump 即可
由于捆绑后之程序运行过程中直接把被捆绑软件解压到内存,所以你无法看到被捆绑软件的代码
这个应该属于非经典壳-捆绑壳
你就无法对其进行分析,起到保护你软件的目的。是不是超强呀
are you sure?
偶hook你的分配内存和写内存代码
让你直接写到文件
再去运行那个文件不就是无壳的了
一句话 你这个办法只能欺骗新手
在真正的老手面前 一切取巧都没用
代码VM 混乱 加密 变形 才是王道啊
[ 本帖最后由 zhuwg 于 2008-1-3 08:27 编辑 ]
引用:
原帖由 breezer 于 2008-1-3 16:32 发表
BP WriteProcessMemory
与其这样,不如Hook WriteProcessMemory,Dump data
引用:
偶hook你的分配内存和写内存代码
让你直接写到文件
再去运行那个文件不就是无壳的了
這一個方法確實打中重點, 可以輕易解出來.
有人知道要如何做和完整的hook代码吗?郁闷中................
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课