新思路爆破“自杀式”暗桩袭击

我昨天半夜刚想到的:让我们虚拟机里先搞第一个实验
找到 XXX.exe
用x32dbg打开
找到vip的字符串调用处Ctrl-来到push YYYYYYYY处
开改

mov al,1
ret

Ctrl+P 保存补丁
接着,让我们欣赏暗桩 干掉notepad qq chrome 等效果吧
一移动光标到 XXX.exe的条上,就触发这个效果
接下来,让我们尝试给主程序XXX.exe也来个这样的手术吧。

每次修改多处,虽然达到了爆破的效果,但也是伤痕累累,我们要做的是微创手术,而不是轰炸~~
所以,我们换个思路,如何做到最小的修改,最高的收益呢?
1) 刚才修改的那处是全局注册标志
2)接下来要解决的是暗桩问题 ,把要结束的 a.exe b.exe c.exe 。。。。几百个文件名都修改掉吗? 效率低下不说。
而且万一还有呢? 所以,我们要从功能函数上入手,把这个功能K掉,岂不世界太平?
所以Ctrl+N, search ,process ,果然找到了一个非常可疑的函数,菜单中转到汇编

修改并保存后,果然补丁成功了,我们用新的方法解决问题了。
所以说找对功能函数和触发点才是关键中的关键。

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
管埋员的头像-小北的自留地

昵称

取消
昵称