QQ登录

只需一步,快速开始

搜索
查看: 12330|回复: 119

[原创] SE v2.3.8.0 Patch机器码

  [复制链接]

257

积分

25

主题

1

精华

专家团

Rank: 7Rank: 7Rank: 7

违规
0 点
JmPoint
13010 点
声望
30 点
赏金币
90 枚
发单信誉
0
接单信誉
0
注册时间
2015-8-7
最后登录
2019-3-13
在线时间
699 小时
发表于 2016-3-12 14:53:43 | 显示全部楼层 |阅读模式
|-------------------------------------------------------------------------------------------------------------------------------------|
|                           掮客酒馆论坛-软件安全|软件教学|赏金论坛|破解软件|                                                         |
|                                            论坛地址:http://www.jmpoep.com 欢迎注册                                                                               |
|                                                                        视频录制者:_BaZzi                                           |
|-------------------------------------------------------------------------------------------------------------------------------------|

前段时间帮别人弄一个SE的时候遇到的Hook地址问题
经检查是因为xjun师傅的补丁封装的比较多 Hook地址必须为转移指令
所以自己写了一份自定义shellcode的补丁 顺便录个演示视频
思路还是前辈们的思路 没什么改动

演示版本 Safengine Shielden v2.3.8.0

SE的机器码是base64编码 二进制长度是28 0x1C
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA==
00000000000000000000000000000000000000000000000000000000

流程步骤
1. 二进制搜索RegQueryValueExA 下断后一路跟到EAX出现SystemBiosVersion 记录地址 为第一次Hook地址

2. 数据窗口跟随eax 在60 15前面下硬件写入断点 F9直到出现机器码 记录地址 为第二次Hook地址 此时手动可patch机器码

步骤详解
1. 搜索RegQueryValueExA会出现多个地址 以分析后文本上面有个CALL为准 call的作用是将文本地址压入栈中

2. push eax之后有个call是要步过F8而不是步入F7的 call功能是SE_GetProcAddress

3. 如果遇到一对je jnz 跟随jnz

4. EAX出现SystemBiosVersion时一般是步过了一个popad 继续跟直到retn之前 都可以作为第一次Hook的地址 步过retn之后会到SE的Shadow API

5. 设置硬件断点必须为硬件写入断点

6. 第一次Hook选址标准 popad之后 retn之前 除转移指令之外有5个连续的字节以供写入Inline Hook

7. 第二次Hook选址标准 硬断断下之后单步几步之内 除转移指令之外有5个连续的字节以供写入Inline Hook

8. 第二次Hook地址会经过多次 所以需要补回Hook覆盖的汇编代码 长度大于等于5字节




解压密码:
www.jmpoep.com

下载连接:
游客,如果您要查看本帖隐藏内容请回复



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即加入

x

评分

参与人数 10JmPoint +22 +5 收起 理由
2lht_love + 1 良心贴,前排支持!!!!!
还是菜鸟一个 + 1 + 1 良心贴,前排支持!!!!!
Black + 1
B1nGzL + 5 + 1 零日安全有你更精彩。
461688115 + 1 + 1 师傅威武
Sure + 1 + 1 良心贴,前排支持!!!!!
Ylca + 1 良心贴,前排支持!!!!!
Pxhb + 1
woshixieziwang + 1 如果pop之后没有连续的5字节怎么搞.
Sodiseng + 10 良心贴,前排支持!!!!!

查看全部评分

回复

使用道具 举报

93

积分

8

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
8294 点
声望
11 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-26
最后登录
2019-5-24
在线时间
428 小时
发表于 2016-3-12 14:56:10 | 显示全部楼层
感谢师傅分享。  之前都没好好看过 SEpatch。这个应该蛮详细的
用 一 辈 子 体 验 生 命 这 个 过 程..
回复 支持 反对

使用道具 举报

6

积分

1

主题

0

精华

临时会员

违规
0 点
JmPoint
668 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-9-17
最后登录
2016-3-21
在线时间
56 小时
发表于 2016-3-12 16:52:29 | 显示全部楼层
这个也太厉害了吧。
回复 支持 反对

使用道具 举报

173

积分

26

主题

1

精华

专家团

Rank: 7Rank: 7Rank: 7

违规
0 点
JmPoint
3578 点
声望
13 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-27
最后登录
2019-5-25
在线时间
262 小时
发表于 2016-3-12 17:25:09 | 显示全部楼层
前来膜拜
回复

使用道具 举报

142

积分

29

主题

0

精华

中级会员

Rank: 3Rank: 3

违规
0 点
JmPoint
1508 点
声望
10 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-2-8
最后登录
2019-5-25
在线时间
628 小时
发表于 2016-3-12 17:35:07 | 显示全部楼层
太强大了
回复

使用道具 举报

64

积分

4

主题

0

精华

正式会员

Rank: 1

违规
0 点
JmPoint
2041 点
声望
10 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-12-28
最后登录
2018-12-15
在线时间
165 小时
发表于 2016-3-12 17:49:43 | 显示全部楼层
感谢靶子师傅分享
回复 支持 反对

使用道具 举报

10

积分

1

主题

0

精华

临时会员

违规
0 点
JmPoint
1364 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-27
最后登录
2018-6-1
在线时间
260 小时
发表于 2016-3-12 18:34:19 | 显示全部楼层
谢谢分享机器码patch,老师能不能脱掉SE跨平台啊。
回复 支持 反对

使用道具 举报

11

积分

3

主题

0

精华

临时会员

违规
0 点
JmPoint
93 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2016-1-24
最后登录
2019-1-18
在线时间
96 小时
发表于 2016-3-12 18:44:29 | 显示全部楼层
感谢师傅分享。  
回复 支持 反对

使用道具 举报

11

积分

3

主题

0

精华

临时会员

违规
0 点
JmPoint
63 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-12-22
最后登录
2018-3-13
在线时间
89 小时
发表于 2016-3-12 19:57:47 | 显示全部楼层
恩恩 支持支持
回复 支持 反对

使用道具 举报

857

积分

263

主题

0

精华

技术专家

Rank: 6Rank: 6

违规
0 点
JmPoint
4395 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-9-27
最后登录
2019-5-25
在线时间
8652 小时
发表于 2016-3-12 20:16:43 | 显示全部楼层
如此牛b..

回复

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即加入

本版积分规则

关闭

站长推荐上一条 /2 下一条

QQ|Archiver|手机版|小黑屋|零日安全论坛 点击这里给我发消息

GMT+8, 2019-5-25 12:24 , Processed in 0.092307 second(s), 34 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表