我正在修改 dll 中编译的可执行代码的某些部分。但是我正在修改的整个段中固定地址处的单个字节无法更改,甚至无法读取。
代码很简单:
SEGMENT_DATA segInfo = getSegmentInfo(mHandle, segmentName);
if (segInfo.inFileSegmentAddr == 0) return false;
DWORD mOlProtection;
DWORD mOlProtection_1;
if (segInfo.architecture != MY_ARCH) {
printf(" Not the same architecture!\n");
return 0;
}
if(VirtualProtect((LPVOID)segInfo.segmentAddr, segInfo.segmentSize, PAGE_EXECUTE_READWRITE, &mOlProtection)==0) return false;
DWORD i=0;
for (size_t k = 0; k < segInfo.segmentSize; k++) {
BYTE *lpByteValue = (BYTE*)(segInfo.segmentAddr + k);
BYTE temp = *lpByteValue;
*lpByteValue = temp ^ lDecryptionKey[i];
i++;
i %= decryptionKeyLength;
}
if(VirtualProtect((LPVOID)segInfo.segmentAddr, segInfo.segmentSize, mOlProtection, &mOlProtection_1)==0) return false;
观察结果:
PAGE_EXECUTE_READWRITE flag.temp示例代码中的变量包含值0xCC
temp在达到之前的值xor。这意味着解密密钥从未被使用过,因此不会导致问题。
Snapshots:
Visual studio can read the address
Can't read byte inside program
我知道导致问题的不是该单个地址处的字节值(因为我发现其他具有相同值的字节已成功处理)。也许该字节仍然是“受保护的”?
为什么会发生这种情况?
你可以很好地处理一个非常常见的场景Software Breakpoints.
Software breakpoints实际上是通过用断点指令替换要断点的指令来设置的。
大多数 CPU 中都存在断点指令,并且通常与最短指令一样短,因此只需one byte on x86 (0xCC, INT 3).
由于我不知道您的源代码中是否存在任何断点,因此我只能假设这是您的问题。