首页
社区
课程
招聘
[原创]说说VA_X的补丁方法
发表于: 2008-12-6 16:11 13856

[原创]说说VA_X的补丁方法

2008-12-6 16:11
13856

【文章标题】: 说说VA_X的补丁方法
【文章作者】: yangjt
【作者邮箱】: yangjietao123@163.com
【作者QQ号】: 325002492
【软件名称】: VA_X
【加壳方式】: Armadillo V5.00-V5.X Dll -> Silicon Realms Toolworks
【操作平台】: Win XP sp3
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  总的来说补丁方法可以分为
  1.直接打补丁(即Code Injection,好像是给Arm释放的那个ArmAccess.DLL Inline补丁,我还没太明白,就不赘述了^_^)
  2.脱壳后打补丁(速度啊……)
  从打的补丁的内容分可以分为三类,以VAX10.5.1709.0为例
  载入后入口如下
  

  1F256C0A >/$  837C24 08 01  [color=#0000FF]cmp[/color]     [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+8], 1
  1F256C0F  |.  75 05         [color=#0000FF]jnz[/color]     [color=#FF0000]short[/color] 1F256C16
  1F256C11  |.  E8 CA4A0000   [color=#0000FF]call[/color]    1F25B6E0
  1F256C16  |>  FF7424 04     [color=#0000FF]push[/color]    [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+4]
  1F256C1A  |.  8B4C24 10     [color=#0000FF]mov[/color]     [color=#808000]ecx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+10]
  1F256C1E  |.  8B5424 0C     [color=#0000FF]mov[/color]     [color=#808000]edx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+C]
  1F256C22  |.  E8 EDFEFFFF   [color=#0000FF]call[/color]    1F256B14
  1F256C27  |.  59            [color=#0000FF]pop[/color]     [color=#808000]ecx[/color]
  1F256C28  \.  C2 0C00       [color=#0000FF]retn[/color]    0C
  
  00CB865A   /EB 03           [color=#0000FF]jmp[/color]     [color=#FF0000]short[/color] 00CB865F
  00CB865C   |D6              [color=#0000FF]salc[/color]
  00CB865D   |D6              [color=#0000FF]salc[/color]
  00CB865E   |8F              ???                                      [color=#008000]; ????[/color]
  00CB865F   \8B15 8C4CD100   [color=#0000FF]mov[/color]     [color=#808000]edx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [D14C8C]
  00CB8665    8995 B4FDFFFF   [color=#0000FF]mov[/color]     [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]ebp[/color]-24C], [color=#808000]edx[/color]
  
  1EDA8119  |.  68 00000100   [color=#0000FF]push[/color]    10000                            [color=#008000];  UNICODE "=::=::\"[/color]
  1EDA811E  |.  E8 4FB41900   [color=#0000FF]call[/color]    1EF43572
  1EDA8123  |.  83C4 08       [color=#0000FF]add[/color]     [color=#808000]esp[/color], 8
  1EDA8126  |>  E8 A5CAF7FF   [color=#0000FF]call[/color]    1ED24BD0
  1EDA812B  |.  50            [color=#0000FF]push[/color]    [color=#808000]eax[/color]
  1EDA812C  |.  8D4C24 1C     [color=#0000FF]lea[/color]     [color=#808000]ecx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+1C]
  1EDA8130  |.  E8 7B68F6FF   [color=#0000FF]call[/color]    1ED0E9B0
  1EDA8135  |.  89BC24 CC0100>[color=#0000FF]mov[/color]     [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+1CC], [color=#808000]edi[/color]
  1EDA813C  |.  E8 AF29FAFF   [color=#0000FF]call[/color]    1ED4AAF0               //[color=#0000FF]这个地方改成mov[/color] [color=#808000]eax[/color],1
  1EDA8141  |.  85C0          [color=#0000FF]test[/color]    [color=#808000]eax[/color], [color=#808000]eax[/color]
  1EDA8143  |.  0F84 71020000 [color=#0000FF]je[/color]      1EDA83BA
  
  1ED82201   .  68 9C86FD1E   [color=#0000FF]push[/color]    1EFD869C                         [color=#008000];  ASCII "VAX:ArmThread"[/color]
  1ED82206   .  8BF1          [color=#0000FF]mov[/color]     [color=#808000]esi[/color], [color=#808000]ecx[/color]
  1ED82208   .  E8 4304FAFF   [color=#0000FF]call[/color]    1ED22650
  1ED8220D   .  83C4 04       [color=#0000FF]add[/color]     [color=#808000]esp[/color], 4
  1ED82210   .  E8 BB3A1000   [color=#0000FF]call[/color]    1EE85CD0
  1ED82215      85C0          [color=#0000FF]test[/color]    [color=#808000]eax[/color], [color=#808000]eax[/color]         //[color=#0000FF]这里改成inc[/color] [color=#808000]eax[/color]
  

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (11)
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
   喜欢用 嘿嘿
2008-12-6 16:36
0
雪    币: 102
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
3
哦, 看起来不错
2008-12-8 13:04
0
雪    币: 411
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
好文章。谢谢。
2008-12-9 09:37
0
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好文要顶一下。
2008-12-9 09:39
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
Visual Assist X

不知道LZ所说的载入。。。载入的是他什么。。。因为他没EXE执行类的吧。。就DLL

希望给小菜解惑下
2008-12-9 12:35
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
学习了 谢谢!
2008-12-9 15:38
0
雪    币: 201
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
Good,学习.对我学习补丁有裨益
2008-12-12 09:51
0
雪    币: 609
活跃值: (237)
能力值: ( LV12,RANK:441 )
在线值:
发帖
回帖
粉丝
9
LoadDLL啊……
http://bbs.pediy.com/showthread.php?t=63485
可以用这个……
2008-12-12 20:12
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
多谢楼主的讲解,有时间学习一下,谢谢!
2009-5-4 09:54
0
雪    币: 236
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
厉害呀
2009-5-25 18:28
0
雪    币: 216
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
好文章!顶!
2009-5-26 09:03
0
游客
登录 | 注册 方可回帖
返回
//