171015 逆向-内嵌补丁

1625-5 王子昂 总结《2017年10月15日》 【连续第380天总结】
A. 内嵌补丁
B.
难以直接修改指定代码时，插入并运行被称为洞穴代码的补丁代码后，对程序打补丁。
当代码被加密保护时，或者修改空间不够时，就需要用到补丁代码的方式了

补丁代码设置在何处

通常有3种区域：
1.空白区域
2.扩展最后节区后设置
3.新增节区

其中第一种方法最简单，直接找到空白区域插入即可；但当空白区域也不够时，就只能使用第二、三种方法了，它们还需要修改节区头

补丁代码的编写

通常在OD中的对应空白区域写入补丁汇编代码来完成目的，例如修改内存字符串，执行函数等等

执行补丁代码

在补丁代码的最后加入JMP OEP后
寻找合适的JMP使控制流执行补丁代码
一般壳恢复完代码后JMP OEP就很适合劫持

不过要注意如果有解密代码，是否会对补丁代码区域进行操作

C. 明日计划
DLL注入知识