se2.4patch机器码成功，制作补丁无效，运行补丁程序直接retn

huangni · 发表于 2018-8-1 23:26:35

se2.4机器码具体patch图

和其他se版本貌似没有什么区别！
疑惑1：载入OD程序停在call上，貌似其他的本版都停在jmp上 QQ图片20180801231842.png

二进制搜索windows api 函数 RegQueryValueEXA
Ctrl+B Ctrl+L两次找到：
00D9463F > \E8 11000000 CALL 00D94655                         ;  PUSH ASCII "RegQueryValueExA"
00D94644 .  52 65 67 51 7>ASCII "RegQueryV"
00D9464D >  61          POPAD
00D9464E    6C          DB 6C                                  ;  CHAR 'l'
00D9464F    75          DB 75                                  ;  CHAR 'u'
00D94650    65          DB 65                                  ;  CHAR 'e'
00D94651    45          DB 45                                  ;  CHAR 'E'
00D94652    78          DB 78                                  ;  CHAR 'x'
00D94653    41          DB 41                                  ;  CHAR 'A'
00D94654 .  00          ASCII 0
00D94655 >^ E9 78FCFFFF JMP 00D942D2 \\此处跟随一直跟到retn处
00D9465A >  57          PUSH EDI                               ;  ntdll.7C930228
00D9465B .  E9 BD000000 JMP 00D9471D
QQ截图20180801231937.png

图三：
00D94274 > \61          POPAD
疑惑2：00D94275                                                       \\ 此处可否作为se_jmp_addr=00D94275
00D94275 .  FF4424 08    INC DWORD PTR SS:[ESP+0x8]             ;  WolServe.00E2CD11
-------------------------------寄存器信息--------------------------------
EAX 0012E4D0 ASCII "SystemBiosVersion"          \\SBV_ADDR=0012E4D0

——————————————————————————————————————
00D94279 .  9D          POPFD
00D9427A .  C3          RETN QQ图片20180801232036.png

EAX 0012E4D0 ASCII "SystemBiosVersion"
\\SBV_ADDR=0012E4D0
\\ SN_ADDR=0012E50C
偏移SN_ADDR=0012E50C-SBV_ADDR=0012E4D0=0x3c
跟随到数据窗口在0012E527下硬件写入断点
QQ图片20180801232036.png

0012e527 下硬件断点 F9 两次出现本机机器码，替换KEY文件对应的机器码删除硬件断点F9运行
HEX:d7e2cab500082000c2060200008dfc04a07d060773175cc3946133af
D7 E2 CA B5 00 08 04 00 E3 06 05 00 00 01 02 03 04 05 06 07 4B 1F DF ED 54 45 DF FD
QQ图片20180801232225.png

patch机器码程序跑起来 QQ图片20180801232225.png

生产补丁
se_jmp_addr=00D94275
se_call_addr=00E0E643
SBV_ADDR=0012E4D0
SN_ADDR=0012E50C
偏移SN_ADDR=0012E50C-SBV_ADDR=0012E4D0=0x3c

F9 两次胸出现机器码删除断点，删除分析，程序停在\\00E0E611 E8 2D000000 CALL 00E0E643
                                                   找最近的jmp\\00E0E643 E9 95000000 JMP 00E0E6DD
00E0E611 E8 2D000000    CALL 00E0E643
00E0E616 BD 3CAE6A3C    MOV EBP, 0x3C6AAE3C
00E0E61B 5D             POP EBP                               ; WolServe.00D88726
00E0E61C 087A 6E       OR BYTE PTR DS:[EDX+0x6E], BH
00E0E61F 5C             POP ESP                               ; WolServe.00D88726
00E0E620 9B             WAIT
00E0E621 F8             CLC
00E0E622 D219          RCR BYTE PTR DS:[ECX], CL
00E0E624 3A69 88       CMP CH, BYTE PTR DS:[ECX-0x78]
00E0E627 2B8D 9C24CE00 SUB ECX, DWORD PTR SS:[EBP+0xCE249C]
00E0E62D 0000          ADD BYTE PTR DS:[EAX], AL
00E0E62F 66:8B1C24    MOV BX, WORD PTR SS:[ESP]
00E0E633 9C             PUSHFD
00E0E634 66:871C24    XCHG WORD PTR SS:[ESP], BX
00E0E638 66:8B5C24 03 MOV BX, WORD PTR SS:[ESP+0x3]
00E0E63D 877424 04    XCHG DWORD PTR SS:[ESP+0x4], ESI
00E0E641  ^ EB A5          JMP SHORT 00E0E5E8
00E0E643 E9 95000000    JMP 00E0E6DD

补丁的源码程序论坛里面的，E语言源码

补丁运行程序直接retn
或者是提示机器码错误
再或者提示内部错误
最后附上程序下载地址链接:链接：https://pan.baidu.com/s/1nPdJyMNkzPuckdSiWAsyLw 密码：61ie

Anakin · 发表于 2018-8-3 22:36:37

楼主这是干嘛请规范发帖谢谢请尊重版规

hanzhe123 · 发表于 2018-8-17 19:16:33

没有问题哦

		自动登录	找回密码
密码			立即注册

1401软件论坛总版规【新人必看】	如何正确发布收费帖子	加入vip系统学习仅需498元	免费获得1401软件安全论坛vip	开通本站VIP会员请联系QQ 564853771
论坛纪念优盘	Beyond EXE超强加密器V1.6	1401论坛破解工具包 2017-9-12	[破解班vip]入门篇	[破解班vip]基础篇
[破解班vip]脱壳篇	[破解班vip]实战篇	[破解班vip]网络验证篇	[破解班vip]零基础HOOK教程	[破解班vip]零基础易语言入门
[破解班vip]零基础c语言入门	[破解班vip]零基础Delphi编程入门	[破解班vip]寒假培训课程共7课	[破解班vip]破解提高篇	[破解班vip]易语言培训课程
[破解班vip]核心技术培训篇	[破解班vip]pe格式与pe操作	[破解班vip]2022全新封包-山寨-爆破全系列	[原创课程]c++单文档框架课程	[逆向班vip]汇编语句与反汇编基础
[逆向班vip]全自动扫雷辅助	[逆向班vip]手机模拟按键	[逆向班vip]植物大战僵尸辅助	广告位招租...	付费破解软件 +Q 564853771