这个程序加了 SE2.1.6.0
WriteProcess 下断
补丁进程结束
外挂正常 本没有断下 没有调用这个函数
不是所有的补丁都会调用这个函数的
1)看有没有DLL加载
有些作者 会把DLL 释放到系统文件夹中加载
可以监视器去监视生成的文件
还可以去查看 模块:
没有登录 时 模块信息 -》 拷贝 整个表-》记事本1
挂接这个程序
模块i信息-》拷贝-》记事本2
CreateProcessA 下断 补丁终止 没有断下
CreateProcessB 下断 补丁又终止了
有检测 函数被下断点
重来 等程序运行后一段时间才下断
可以看到 CreateProcessW 可以断下 CC校验意见跳过了
复制信息-》记事本 看到很多参数
WMIC process 查看程序启动参数
带参数运行程序
以为是参数破解的····································································
1)batt脚本 带参数运行 不行 以为 &符号它会当成 连接符 行不通
2)创建快捷方式 设置参数
1有BUG 2有漏洞
3) 写程序 调用API
CreteProcess()
反EXE补丁技术:
SE 断点为什么断不下来 Shadow Function技术 隐藏函数
下断 LoadLibraryW 断下
等到壳的领空的时候 看它加载的信息
LoadLibraryA /W -》加载需要隐藏函数所在的模块 USER32.DLL-》映射到当前内存空间中-》COPY一份数据
-》处理重定位-》调用COPY数据里的函数
结果CC校验太厉害了 都不能断下
它既然是模拟 那么他们的函数数据跟 USER32.DLL中的数据是一样的
shfit+x 插件 复制二进制码 或者 复制二进制
搜索 发现 另一个函数 ······这个就是SE的COPY的函数
下断
这样就断下了········································································
复制二进制码的时候不能复制 CALL 函数
先把CALL XXXXX NOP掉 因为SE有重定位 CALL XXXX的二进制码跟USER32.DLL的二进制码不同
可以将 CALL XXXXXX NOP 复制二进制码 90换成 ????
去模糊搜索
就可以搜索到了
也就是 定位特征码 远眺不能 直接复制
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////