我正在修改 dll 中编译的可执行代码的某些部分。但是我正在修改的整个段中固定地址处的单个字节无法更改,甚至无法读取。
代码很简单:
SEGMENT_DATA segInfo = getSegmentInfo(mHandle, segmentName);
if (segInfo.inFileSegmentAddr == 0) return false;
DWORD mOlProtection;
DWORD mOlProtection_1;
if (segInfo.architecture != MY_ARCH) {
printf(" Not the same architecture!\n");
return 0;
}
if(VirtualProtect((LPVOID)segInfo.segmentAddr, segInfo.segmentSize, PAGE_EXECUTE_READWRITE, &mOlProtection)==0) return false;
DWORD i=0;
for (size_t k = 0; k < segInfo.segmentSize; k++) {
BYTE *lpByteValue = (BYTE*)(segInfo.segmentAddr + k);
BYTE temp = *lpByteValue;
*lpByteValue = temp ^ lDecryptionKey[i];
i++;
i %= decryptionKeyLength;
}
if(VirtualProtect((LPVOID)segInfo.segmentAddr, segInfo.segmentSize, mOlProtection, &mOlProtection_1)==0) return false;
观察结果:
- 在修改内存之前,我“取消保护”该区域
PAGE_EXECUTE_READWRITE
flag.
- Visual Studio 中的内存视图清楚地向我显示了该特定地址的值。更奇怪的是,当我从调试器手动修改该值时,我的代码也能够更改该值。
-
temp
示例代码中的变量包含值0xCC
- 从字面上看,该字节是数百个其他字节中唯一未更改的字节。它是内存视图中唯一标记为黑色的字节(其余字节为红色,因为它们已更改)
- Dll 在 Debug/x86 中编译。 /MTd 标志已设置。无随机地址(/DYNAMICBASE:NO,/FIXED:NO)。没有整个程序优化。
- 未修改的字节不是变量。所以它不能是“未初始化”的。它实际上是一个非常重要的字节:它是指令操作码。一切都在该字节上崩溃。
- 解密例程(XOR 代码)对错误没有影响。我进入代码并查看
temp
在达到之前的值xor
。这意味着解密密钥从未被使用过,因此不会导致问题。
- 虚拟保护成功。
Snapshots:
Visual studio can read the address
Can't read byte inside program
我知道导致问题的不是该单个地址处的字节值(因为我发现其他具有相同值的字节已成功处理)。也许该字节仍然是“受保护的”?
为什么会发生这种情况?
你可以很好地处理一个非常常见的场景Software Breakpoints
.
Software breakpoints
实际上是通过用断点指令替换要断点的指令来设置的。
大多数 CPU 中都存在断点指令,并且通常与最短指令一样短,因此只需one byte on x86 (0xCC, INT 3)
.
由于我不知道您的源代码中是否存在任何断点,因此我只能假设这是您的问题。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)