逆向工程核心原理之内嵌补丁

最新推荐文章于 2022-04-18 00:56:47 发布
最新推荐文章于 2022-04-18 00:56:47 发布
阅读量560 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向 文章标签: 逆向工程核心原理 内嵌补丁
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangtiankuo/article/details/80880904
本文介绍了一种程序解密方法及内嵌补丁技术的应用。通过与特定数值进行异或操作完成代码解密,并详细说明了如何通过修改跳转指令实现补丁代码的嵌入,确保程序完整性和功能扩展。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.1       源程序分析

第一次解密4010F5,与0x44异或

解密401007,与0x7异或,一直到0x401086

第二次解密4010F5,与0x11异或。

将4010F5处的内容累加得到校验和,与0x31EB8DB0作比较,来判断代码/数据是否被改动过。

下图是我们将要修改的字符串。分别位于0x40110A和0x401123

        解密代码。

1.2       内嵌补丁

思路:解密结束后会跳到OEP,把JMP OEP改成JMP 补丁代码,补丁代码执行完成后再JMP OEP。

补丁代码有3种设置方法:

设置到文件的空白区域

扩展最后节区后设置

添加新节区后设置。

打补丁过程:

.text节区起始偏移是0x400,大小是0x280,从0x680-0x800都是NULL,这个文件偏移所对应RVA是0x1000+(0x680-0x400)+ImageBase=0x401280,在0x401280处填充补丁代码。

补丁代码填充结束后,需要修改之前跳转到OEP的代码修改成跳转到401280。

修改0x401083处的内容,内容为“E9 96 01”,这一部分到0x401086就结束了。文件偏移是0x401083-0x401000+0x400=0x483

        0x483处的内容是未解密的,和0x7异或之后得到jmp40121e。

        现在需要将JMP 40121e改成JMP 401280,“E9 F8 01”,需要将“E9 F8 01”与0x7异或后再写入0x483-0x486。

 

打了补丁之后的程序:


C++ 逆向工程:分析没有源代码的 C++ 二进制文件
weixin_41455464的博客
07-07 1658
以 Ghidra 为例,打开 Ghidra,导入要分析的二进制文件,Ghidra 会自动分析文件结构,并生成汇编代码。今天我们要玩点刺激的,不看源代码,直接扒开 C++ 二进制文件的底裤,看看它到底在搞什么鬼。的程序,它的功能是要求用户输入一个密码,如果密码正确,则显示 "Congratulations!总而言之,逆向工程是一项非常有用的技能,它可以帮助我们更好地理解软件,保护我们的安全,甚至提升我们的编程能力。C++ 相比 C 增加了很多特性,这给逆向工程带来了新的挑战,但也提供了新的线索。
逆向工程核心原理 第20章patchme内嵌补丁实践
h123120的专栏
04-18 1063
一、前期准备本次要破解的是《逆向工程核心原理》书本中提到的patchme程序(一)、程序很简单,只有两个窗口             程序很简单,但是字符串在程序中都被加密了,所以稍微有点麻烦。二、破解过程(一)、使用x32dbg载入程序,按F9跳转到入口点。(二)步入第一个call调用(三)按f8步进来到40109B处仔细分析这段代码,会发现这段代码的是第一轮解密代码,对004010F5到004...
逆向工程核心原理》学习笔记8 内嵌补丁练习
EloflyS的博客
03-14 332
逆向工程核心原理》学习笔记8 调试Upack加壳的notepad.exe 上次的博客详细分析了UPack加壳的notepad.exe,所以这次我们尝试调试该notepad.exe,我们依然在OD当中去调试它。 打开它的时候,会出现警告信息,不用管他,点击确定,由于这个对话框中显示的错误,导致OD无法找到实际的EP位置,所以就会停在其他地方。但是没关系,因为 ...
逆向工程核心原理----第二十章内嵌补丁练习
qq_55785697的博客
04-12 279
内嵌补丁这种方法适合于不便直接修改指定的代码,比如程序中含有校验函数,加解密函数等等。 一、分析源程序 用ollydbg打开unpackme.exe
逆向工程核心原理》学习笔记——内嵌补丁
何不提剑起,壶酒天涯路
08-27 413
内嵌补丁(Inline Patch) 它是“内嵌代码补丁“(Inline Code Patch)的简称。常用于对象程序经过运行时压缩(加密处理)而难以修改的情况。 运行时压缩代码的Ep代码先将加密的OEP代码解密,然后再跳转到OEP代码处。 内嵌补丁在文件设置被称为“洞穴代码”的“补丁代码”,在EP代码解密后修改JMP指令跳转到洞穴代码的运行。   把特定地址区域的值加和后存储到寄存器中,...
逆向工程核心原理》20内嵌补丁
m0_62690279的博客
04-18 382
逆向工程核心原理》20内嵌补丁 内嵌补丁存在的原因 由于一些程序(运行时解压缩、加密文件)需要打补丁时,难以修改指定的代码 为了修改它们, 插入额外的“洞穴代码” (程序运行同时运行这个额外代码), 来达到打补丁的效果 原理图: 书中示例的patchme程序 确定 调试分析 EP: 10E9是输出对话框的函数,跟进看看 同样跟进里面的call……9B函数 发现三个用于解码循环语句 是一个解密代码(A3~AD) 对4010f5 ~ 4010f5+154(40f1248) 的区域进行 xor 4
逆向工程核心原理》第20章——“内嵌补丁”练习
diamond_biu的博客
12-23 517
11
逆向工程核心原理》总结之入门介绍
weixin_44022769的博客
02-25 726
       程序调试有静态调试和动态调试两种。静态调试是指将程序源代码编译成可执行程序之前,用手工或编译程序等方法对程序源代码进行测试,来查找和修正程序中的语法错误和逻辑错误。动态调试则是在可执行程序的运行过程中,来查找和修正程序中的语法错误和逻辑错误。随着系统安全与逆向工程的不断发展,程序调试已经成为信息安全爱好者所必备的一种技术。 ​       汇编是将汇编代码编译、链接成可执行文件的过...
逆向工程之运行时压缩
周星星的博客
10-21 1024
1.数据压缩 数据压缩是计算机工程的主要研究内容,经过数十年发展已经有了深入研究,今后还会出现更多,更好的算法。不论哪种形态的文件都是由2进制组成的,只要使用合适的压缩算法,就能缩减其大小。经过压缩的文件若能100%恢复,则称该压缩为无损压缩;若不能恢复原状,则称该压缩为有损压缩。 无损压缩 无损压缩用来缩减文件的大小,压缩后的文件更易保管、移动。使用经过压缩的文件之前,需要先对文件解压缩(此过程应该保证数据完整性)。还有许多其他压缩算法,它们都是在上面三种的基础上改造而成的。 有损压缩 有损压缩允许压缩
自己收集的一些逆向工程的入门概念——壳、注册机、算法求逆、反病毒、免杀
siphre
10-08 1226
一、软件逆向工程 大多数时候都会被简称为逆向工程(Reverse engineering)或直接将其称为逆向(Reverse)。软件逆向工程的基本思路是将二进制代码按照一定格式进行正确有效的反汇编,并通过分析反汇编代码再配合其调用的外部函数或系统API等,对其代码逻辑进行理解,而在这个过程中最重要的就是推理出该二进制代码使用的数据结构。 二、加壳与脱壳 壳是程序免杀的手段之一,也起到干扰逆向...
嵌入式逆向工程Mobile破解
04-28
对于致力于嵌入式环境下的逆向分析有一定的助益。
逆向工程核心原理20内嵌补丁练习学习笔记
Z_LiT0的博客
09-29 539
导航0X00 分析程序0X01 破解程序 0X00 分析程序 破解小程序:https://download.youkuaiyun.com/download/z_lit0/10695096 运行程序观察程序: 根据提示可知道需要破解的地方为这俩字符串,将程序加载到od中观察: 看到pushad,尝试在popad处下断点: 发现程序并没有断下,那只好单步执行看看: 运行到0040109B函数,可以发现...
内嵌补丁(洞穴代码)
weixin_30876945的博客
08-20 194
测试文件:https://www.lanzous.com/i5o5fhg 1.准备 典型的运行时压缩(或者加密代码),是EP代码先将加密的OEP代码解密,再跳转到OEP处。而若要修改被加密的内容,可以在EP解密代码之后,JMP跳转目标改为“洞穴代码”(此时的代码已被解密),再跳转到OEP。 打开测试文件 2.OD调试 查找所有字符串之后,未找到所需要的...
171015 逆向-内嵌补丁
whklhhhh的博客
10-17 408
1625-5 王子昂 总结《2017年10月15日》 【连续第380天总结】 A. 内嵌补丁 B. 难以直接修改指定代码时,插入并运行被称为洞穴代码的补丁代码后,对程序打补丁。 当代码被加密保护时,或者修改空间不够时,就需要用到补丁代码的方式了补丁代码设置在何处通常有3种区域: 1.空白区域 2.扩展最后节区后设置 3.新增节区其中第一种方法最简单,直接找到空白区域插入即可;但当空白
逆向工程核心原理2:程序补丁
xiaohuoche的博客
06-25 449
补丁 : 即修改exe的内容1、直接修改字符串缓冲区    选中需要修改的内存地址,按ctrl + E, 直接修改内容即可,然后按F9执行保存修改的地方到新的exe中 : 选中修改的部分,邮件copy to executeable file, 然后 save file2、新开辟一块内存存入输入,然后用修改字符串首地址    找到一块新内存,ctrl + E, 修改内容              ...
小甲鱼 OllyDbg 教程系列 (十一) : inline patch ( 内嵌补丁 )
freeking101的博客
11-18 1075
小甲鱼 OllyDbg 视频教程:https://www.bilibili.com/video/av6889190?p=19 程序下载地址:https://pan.baidu.com/s/1u6SWgx83VWDwitNzxT2OXg 提取码:if41 PEiD 查壳工具:https://pan.baidu.com/s/1iNS4UlBvmXCxaj5a-AFupw ...
内嵌补丁
wk19951125的博客
02-15 225
内嵌补丁内嵌补丁Patchme 内嵌补丁 内嵌补丁:难以直接修改指定代码时,插入并执行被称为“洞穴代码”的补丁代码后,对程序打补丁。 代码补丁 内嵌补丁 对象 文件 文件&内存 次数 一次 文件中1次,内存中每次运行时 方法 直接对指定位置打补丁 提前设置洞穴代码,在内存中对指定区域解密时打补丁 Patchme ...
数据库内容导出与逆向工程实践指南
逆向工程通常是指从现有的产品、系统、软件等进行分析和研究,以了解其工作原理和构建过程,并在此基础上制作出新的产品或进行改进的过程。在数据库领域,逆向工程主要是指根据已有的数据库系统生成数据模型、表结构...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值