[原创]说说VA_X的补丁方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]说说VA_X的补丁方法

发表于: 2008-12-6 16:11 13821

[原创]说说VA_X的补丁方法

yangjt

2008-12-6 16:11

13821

【文章标题】: 说说VA_X的补丁方法
【文章作者】: yangjt
【作者邮箱】: yangjietao123@163.com
【作者QQ号】: 325002492
【软件名称】: VA_X
【加壳方式】: Armadillo V5.00-V5.X Dll -> Silicon Realms Toolworks
【操作平台】: Win XP sp3
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  总的来说补丁方法可以分为
  1.直接打补丁(即Code Injection，好像是给Arm释放的那个ArmAccess.DLL Inline补丁，我还没太明白，就不赘述了^_^)
  2.脱壳后打补丁(速度啊……)
  从打的补丁的内容分可以分为三类，以VAX10.5.1709.0为例
  载入后入口如下

  1F256C0A >/$  837C24 08 01  [color=#0000FF]cmp[/color]     [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+8], 1
  1F256C0F  |.  75 05         [color=#0000FF]jnz[/color]     [color=#FF0000]short[/color] 1F256C16
  1F256C11  |.  E8 CA4A0000   [color=#0000FF]call[/color]    1F25B6E0
  1F256C16  |>  FF7424 04     [color=#0000FF]push[/color]    [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+4]
  1F256C1A  |.  8B4C24 10     [color=#0000FF]mov[/color]     [color=#808000]ecx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+10]
  1F256C1E  |.  8B5424 0C     [color=#0000FF]mov[/color]     [color=#808000]edx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+C]
  1F256C22  |.  E8 EDFEFFFF   [color=#0000FF]call[/color]    1F256B14
  1F256C27  |.  59            [color=#0000FF]pop[/color]     [color=#808000]ecx[/color]
  1F256C28  \.  C2 0C00       [color=#0000FF]retn[/color]    0C

  00CB865A   /EB 03           [color=#0000FF]jmp[/color]     [color=#FF0000]short[/color] 00CB865F
  00CB865C   |D6              [color=#0000FF]salc[/color]
  00CB865D   |D6              [color=#0000FF]salc[/color]
  00CB865E   |8F              ???                                      [color=#008000]; ????[/color]
  00CB865F   \8B15 8C4CD100   [color=#0000FF]mov[/color]     [color=#808000]edx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [D14C8C]
  00CB8665    8995 B4FDFFFF   [color=#0000FF]mov[/color]     [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]ebp[/color]-24C], [color=#808000]edx[/color]

  1EDA8119  |.  68 00000100   [color=#0000FF]push[/color]    10000                            [color=#008000];  UNICODE "=::=::\"[/color]
  1EDA811E  |.  E8 4FB41900   [color=#0000FF]call[/color]    1EF43572
  1EDA8123  |.  83C4 08       [color=#0000FF]add[/color]     [color=#808000]esp[/color], 8
  1EDA8126  |>  E8 A5CAF7FF   [color=#0000FF]call[/color]    1ED24BD0
  1EDA812B  |.  50            [color=#0000FF]push[/color]    [color=#808000]eax[/color]
  1EDA812C  |.  8D4C24 1C     [color=#0000FF]lea[/color]     [color=#808000]ecx[/color], [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+1C]
  1EDA8130  |.  E8 7B68F6FF   [color=#0000FF]call[/color]    1ED0E9B0
  1EDA8135  |.  89BC24 CC0100>[color=#0000FF]mov[/color]     [color=#FF0000]dword[/color] [color=#FF0000]ptr[/color] [[color=#808000]esp[/color]+1CC], [color=#808000]edi[/color]
  1EDA813C  |.  E8 AF29FAFF   [color=#0000FF]call[/color]    1ED4AAF0               //[color=#0000FF]这个地方改成mov[/color] [color=#808000]eax[/color],1
  1EDA8141  |.  85C0          [color=#0000FF]test[/color]    [color=#808000]eax[/color], [color=#808000]eax[/color]
  1EDA8143  |.  0F84 71020000 [color=#0000FF]je[/color]      1EDA83BA

  1ED82201   .  68 9C86FD1E   [color=#0000FF]push[/color]    1EFD869C                         [color=#008000];  ASCII "VAX:ArmThread"[/color]
  1ED82206   .  8BF1          [color=#0000FF]mov[/color]     [color=#808000]esi[/color], [color=#808000]ecx[/color]
  1ED82208   .  E8 4304FAFF   [color=#0000FF]call[/color]    1ED22650
  1ED8220D   .  83C4 04       [color=#0000FF]add[/color]     [color=#808000]esp[/color], 4
  1ED82210   .  E8 BB3A1000   [color=#0000FF]call[/color]    1EE85CD0
  1ED82215      85C0          [color=#0000FF]test[/color]    [color=#808000]eax[/color], [color=#808000]eax[/color]         //[color=#0000FF]这里改成inc[/color] [color=#808000]eax[/color]

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

VAX_Cracker.rar （0.46kb，155次下载）
1.jpg （12.60kb，984次下载）
2.jpg （35.22kb，988次下载）

收藏・10

免费・7

支持

最新回复 (11)
zhangshuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	zhangshuo 2 楼喜欢用嘿嘿 2008-12-6 16:36 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 3 楼哦, 看起来不错 2008-12-8 13:04 0
kmlch 雪币： 411 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 220 粉丝 0 关注私信	kmlch 4 楼好文章。谢谢。 2008-12-9 09:37 0
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 344 粉丝 0 关注私信	jordanpz 5 楼好文要顶一下。 2008-12-9 09:39 0
Runzy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	Runzy 6 楼 Visual Assist X 不知道LZ所说的载入。。。载入的是他什么。。。因为他没EXE执行类的吧。。就DLL 希望给小菜解惑下 2008-12-9 12:35 0
SUNINRAIN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	SUNINRAIN 7 楼学习了谢谢！ 2008-12-9 15:38 0
woodwu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	woodwu 8 楼 Good,学习.对我学习补丁有裨益 2008-12-12 09:51 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 9 楼 LoadDLL啊…… http://bbs.pediy.com/showthread.php?t=63485 可以用这个…… 2008-12-12 20:12 0
授人以愚雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	授人以愚 10 楼多谢楼主的讲解，有时间学习一下，谢谢！ 2009-5-4 09:54 0
yayazhi 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 61 粉丝 0 关注私信	yayazhi 11 楼厉害呀 2009-5-25 18:28 0
天涯过客雪币： 216 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 134 粉丝 0 关注私信	天涯过客 12 楼好文章！顶！ 2009-5-26 09:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yangjt

发帖

459

回帖

441

RANK

关注

私信

他的文章

[原创]动手给音速启动加点动力、 15740
[原创]lpk类病毒分析 31523
[原创]css.exe逆向分析 7820
[原创]Worm.Parite.Residented 详细分析+专杀工具src 11229
[原创]BuildVersion V1.0 CrAcKeD 3576

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
zhangshuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	zhangshuo 2 楼喜欢用嘿嘿 2008-12-6 16:36 0
zhangjunyu 雪币： 102 能力值： (RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 0 关注私信	zhangjunyu 3 楼哦, 看起来不错 2008-12-8 13:04 0
kmlch 雪币： 411 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 220 粉丝 0 关注私信	kmlch 4 楼好文章。谢谢。 2008-12-9 09:37 0
jordanpz 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 344 粉丝 0 关注私信	jordanpz 5 楼好文要顶一下。 2008-12-9 09:39 0
Runzy 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	Runzy 6 楼 Visual Assist X 不知道LZ所说的载入。。。载入的是他什么。。。因为他没EXE执行类的吧。。就DLL 希望给小菜解惑下 2008-12-9 12:35 0
SUNINRAIN 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	SUNINRAIN 7 楼学习了谢谢！ 2008-12-9 15:38 0
woodwu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 45 粉丝 0 关注私信	woodwu 8 楼 Good,学习.对我学习补丁有裨益 2008-12-12 09:51 0
yangjt 雪币： 609 活跃值： (237) 能力值： ( LV12，RANK：441 ) 在线值：发帖 51 回帖 459 粉丝 1 关注私信	yangjt 10 9 楼 LoadDLL啊…… http://bbs.pediy.com/showthread.php?t=63485 可以用这个…… 2008-12-12 20:12 0
授人以愚雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	授人以愚 10 楼多谢楼主的讲解，有时间学习一下，谢谢！ 2009-5-4 09:54 0
yayazhi 雪币： 236 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 61 粉丝 0 关注私信	yayazhi 11 楼厉害呀 2009-5-25 18:28 0
天涯过客雪币： 216 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 134 粉丝 0 关注私信	天涯过客 12 楼好文章！顶！ 2009-5-26 09:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复