小甲鱼 OllyDbg 视频教程：https://www.bilibili.com/video/av6889190?p=19

程序下载地址：https://pan.baidu.com/s/1u6SWgx83VWDwitNzxT2OXg    提取码：if41 

PEiD 查壳工具：https://pan.baidu.com/s/1iNS4UlBvmXCxaj5a-AFupw    提取码：79z5 

 

 

前言

 

inline patch “内嵌补丁” 指在程序文件中把补丁代码写入文件里面达到 PJ 的目的。

例：
原程序：  mov eax, dword ptr [ebp+8]    3个字节
想改为：  mov eax, 4                    5个字节
若如此修改，会产生溢出，覆盖了下面的指令

所以要采用内嵌补丁的方式：

1. 找程序的空白区间，写入自己需要的指令（mov eax, 4），以及会被覆盖的指令
2.将原来的指令（mov eax, dword ptr [ebp+8]）改为 jmp XXXXXX（补丁的地址）（这个操作也会覆盖后面的内容）
3.在补丁最后加上 jmp XXXXXXX（原程序后面的内容的地址），跳出补丁，返回主程序

 

 

开始

 

首先用 PEiD 查看，可以看到是 VC6.0 写的程序：

然后用 OD 载入程序，按 F9 运行，程序运行，然后随便输入注册：

发现程序界面没什么反应，现在输入注册码，不要点击 OK。打开 OD ，按下 Ctrl + n ，输入 killtimer，查找 KillTimer

，右键 -》 在每个参考上设置断点

为什么要在 KillTimer 上设置断点呢？通过观察发现了，KillTimer 实现了类似C语言的 switch case 的效果

点击 cmp eax, 3 ，在数据窗口可以看到 是从哪个位置跳转过过来的，然后右键 转到 上级调用地址，按这种方法直到回溯到程序的开头

回溯到 程序头，即switch case ，然后加上断点

在向上看程序，函数的开头加个断点：

重新载入程序，让程序在函数开头的位置断下来，按 F8 单步调试，观察 eax 的值的变化：

解释：

所以就需要用到 内嵌补丁 来进行修补。什么是内嵌补丁，就是在程序中没用的内存空间写入补丁。因为程序在内存中都是需要内存对齐的，所以有些没用的空间都是用 0 来填充进行对齐，可以在这些地方写入补丁（这里写入地址为 5E47D0）：

快速定位技巧：设置书签

记住位置或者设置书签，复制被覆盖的汇编代码：

原来位置的修改：

跳转到要写入内嵌补丁的位置，开始写入补丁：

 

粘贴被覆盖的代码，然后再跳转到原来的位置：

保存修改，然后运行程序，发现程序一直死循环。说明程序还有问题，冲洗载入程序，单步调试，当程序运行到 cmp eax，4 时，更改 ZF 标志位，让程序跳转实现，然后继续调试，发现当程序 执行 cmd eax，0B 时，程序正常。所以修改补丁位置 mov eax，4 位 mov eax， 0B

保存程序，然后运行程序，发现程序正常。

说明：当程序 mov eax,4 时，验证成功，但是验证成功后还的 mov eax，0B 跳出循环，所以当 mov eax，4 时，虽然验证成功，但是没有跳出循环，所以一直跳出窗口。