首页
社区
课程
招聘
[求助]请问有人知道要怎么hook写内存代码或memdump吗?
发表于: 2008-1-6 20:09 6031

[求助]请问有人知道要怎么hook写内存代码或memdump吗?

2008-1-6 20:09
6031
1.软件被用藏经阁捆绑软件会员版捆绑。

2.OD载入捆绑后之程序,F9运行,捆绑后之程序将被捆绑软件解压到内存,并直接内存启动此软件,启动此软件后,OD中捆绑后之程序运行结束(OD运行结束),此时被捆绑软件已脱离捆绑后之程序独立运行。

3.OD重新载入捆绑后之程序,下任何断点,你会发现:断点只能断捆绑后之程序,而对被捆绑软件完全失效。

4.由于捆绑后之程序运行过程中直接把被捆绑软件解压到内存,所以你无法看到被捆绑软件的代码,你就无法对其进行分析,起到保护你软件的目的。是不是超强呀?朋友们,如果你的软件老被破解,请试试此方法:)

以下是高手的回复
'·.::Κūйɡβǐм::.·' :
根据情况,反之。。。。MemDump 即可
由于捆绑后之程序运行过程中直接把被捆绑软件解压到内存,所以你无法看到被捆绑软件的代码
这个应该属于非经典壳-捆绑壳

你就无法对其进行分析,起到保护你软件的目的。是不是超强呀
are you sure?
偶hook你的分配内存和写内存代码
让你直接写到文件
再去运行那个文件不就是无壳的了

一句话 你这个办法只能欺骗新手
在真正的老手面前 一切取巧都没用
代码VM 混乱 加密 变形 才是王道啊

[ 本帖最后由 zhuwg 于 2008-1-3 08:27 编辑 ]
引用:
原帖由 breezer 于 2008-1-3 16:32 发表
BP WriteProcessMemory
与其这样,不如Hook WriteProcessMemory,Dump data
引用:
偶hook你的分配内存和写内存代码
让你直接写到文件
再去运行那个文件不就是无壳的了
這一個方法確實打中重點, 可以輕易解出來.

有人知道要如何做和完整的hook代码吗?郁闷中................

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
2
too easy to tell you

想想如果你来实现这个东西,该怎么做,用的什么API,然后答案就出来了

如果你不懂,那么还是塌实的从头学起,答得你一个问题答不来第二个
2008-1-7 16:02
0
游客
登录 | 注册 方可回帖
返回
//