[防封号指南]乐易论坛总版规乐易论坛官方B站乐易论坛官方抖音更改用户名★★乐易论坛历年课程一览表★★

乐易论坛-乐易网易语言培训教程火山PC视窗中文编程交流论坛

 找回密码
 立即注册

手机号登录

用手机号号登陆

微信登录

微信扫码,快速开始

QQ登录

用QQ账号登陆

乐易论坛-乐易网易语言培训教程火山PC视窗中文编程交流论坛»乐易论坛 在线特训课培训-单项提高 FridaHook 这是一个 Frida VEH 示例
办理VIP,定制软件,报名培训联系QQ请牢记揰掵佲的QQ号1615457736 1615457734 其他都是骗子易语言0基础入门课程
易语言汇编快速入门课程《64位某信Hook技术实战基础教程》【投稿课程】百日Js加密分析实战课程(无密下载)
【强烈推荐】《火山视窗0基础入门系列课程》《64位某信Hook技术实战进阶教程》【投稿课程】《0基础x64位游戏内存辅助开发教程 》
《火山视窗POST基础入门课程》《64位某信数据库操作课程》【投稿课程】广告位招租联系QQ1615457736
返回列表 发新帖
查看: 6682|回复: 4

[分享/交流] 这是一个 Frida VEH 示例

[复制链接]

[分享/交流] 这是一个 Frida VEH 示例

[复制链接]
揰掵佲
已绑定手机
已实名认证
揰掵佲
等级头衔

等級:乐易运营组

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

积分成就
易币
贡献
主题
精华
金钱
积分
24312
注册时间
2014-8-2
最后登录
1970-1-1

勋章墙

2022-12-5 18:03:23 | 显示全部楼层 |阅读模式

据统计90%查看本帖的人,都已经注册本站了哦

您需要 登录 才可以下载或查看,没有账号?立即注册

×
好了废话不多说,因为太简单了,没什么话可以说,直接上代码。
Talk is cheap. Show you My code.
顺便说一句,丢掉调试器,丢掉各种Loader各种Patcher吧,一个 frida 的 Js 脚本就能干翻一切。
大佬们可以自己实现下 x64 下的代码(尝试下试硬件断点的方式,尝试下 VMP,TEP,WL,SE各种壳的替换机器码)

python3 安装 frida

pip3 install frida frida-tools -i https://pypi.tuna.tsinghua.edu.cn/simple

然后把这个 js 放 exe 同级目录,在目录下 cmd 或者 PS运行下面命令就行

frida -f 010Editor.exe -l ./frida-veh-010-bs.js
[JavaScript] 纯文本查看 复制代码
//"use strict"
console.log("\n");
console.warn("Frida.version = " + Frida.version);
console.log("Frida.heapSize = " + Frida.heapSize);
console.warn("Process.arch = " + Process.arch);
console.warn("Process.platform = " + Process.platform);
console.log("Process.pointerSize = " + Process.pointerSize);
console.log("\n");
console.error(" 这是一个 Frida VEH 010 Editor 的牛逼示例")
console.error(" pip3 install frida frida-tools -i [url=https://pypi.tuna.tsinghua.edu.cn/simple]https://pypi.tuna.tsinghua.edu.cn/simple[/url] ");
console.error(" frida -f 010Editor.exe -l ./frida-veh-010-bs.js --no-pause ");
//
if (Process.platform == "windows" && Process.arch == "x64") {
    console.warn("\n", "Coming soon :) ", "\n");
} else if (Process.platform == "windows" && Process.arch == "ia32") {
    //
    var editor = Process.findModuleByName("010Editor.exe");
    console.log("010 editor base: ", editor.base, typeof (editor.base));
    var sub_patchaddr = editor.base.add(0x31f7fa);
    console.log("010 editor VA: ", sub_patchaddr, typeof (sub_patchaddr));
    var buf = Memory.readByteArray(sub_patchaddr, 16);
    const cc_origin = Memory.readU8(sub_patchaddr);
    console.log("cc_origin: ", cc_origin, typeof (cc_origin));
    console.log(hexdump(sub_patchaddr, { offset: 0, length: 32, header: true, ansi: true }));
    // VEH
    Process.setExceptionHandler(function (details) {
        console.log("\n", "setExceptionHandler ==> address: ", details.address);
        console.error(JSON.stringify(details));
        console.warn("RVA: ", details.address.sub(editor.base));
        //
        console.log("eip[0]: " + ptr(Memory.readU8(details.context.eip)));
        // restore
        //Memory.writeU8(sub_patchaddr, 0x55);
        Memory.writeU8(sub_patchaddr, cc_origin);
        console.warn("eip[0]: " + ptr(Memory.readU8(details.context.eip)));
 
        console.log("eip: ", details.context.eip);
        console.log("pc: ", details.context.pc);
        console.log("eax: ", details.context.eax);
        //
        details.context.eax = 0xDB;
        details.context.eip = ptr(details.context.eip).add(0x7);
        console.warn("eax: ", details.context.eax);
        console.warn("eip: ", details.context.eip);
        console.warn("pc: ", details.context.pc);
        // int3  0xCC
        Memory.protect(sub_patchaddr, 1, 'rwx');
        Memory.writeU8(sub_patchaddr, 0xcc);
        return true;
    });
    // int3  0xCC
    Memory.protect(sub_patchaddr, 1, 'rwx');
    Memory.writeU8(sub_patchaddr, 0xcc);
} else {
    console.warn("\n", "This platform and architecture are not supported :( ", "\n");
}

WechatIMG61.png
游客,如果您要查看本帖隐藏内容请回复


★★全日制实地培训★★,报名联系QQ 1615457736
回复

使用道具 举报

bianyuan456
已绑定手机
已实名认证
bianyuan456
等级头衔

等級:编程学徒

Rank: 3Rank: 3

积分成就
易币
贡献
主题
精华
金钱
积分
202
注册时间
2017-6-10
最后登录
1970-1-1

勋章墙

2022-12-7 23:11:49 | 显示全部楼层
感谢分享,看看怎么牛逼的
★★全日制实地培训★★,报名联系QQ 1615457736
回复

使用道具 举报

coody
已绑定手机
已实名认证
coody
等级头衔

等級:编程起步

Rank: 5Rank: 5

积分成就
易币
贡献
主题
精华
金钱
积分
540
注册时间
2016-11-28
最后登录
1970-1-1

勋章墙

2023-8-10 15:30:29 | 显示全部楼层

感谢分享,很给力!~
★★全日制实地培训★★,报名联系QQ 1615457736
回复

使用道具 举报

coody
已绑定手机
已实名认证
coody
等级头衔

等級:编程起步

Rank: 5Rank: 5

积分成就
易币
贡献
主题
精华
金钱
积分
540
注册时间
2016-11-28
最后登录
1970-1-1

勋章墙

2023-8-10 15:30:46 | 显示全部楼层

新技能已get√
★★全日制实地培训★★,报名联系QQ 1615457736
回复

使用道具 举报

kelwryjh
已绑定手机
kelwryjh
等级头衔

等級:编程学徒

Rank: 3Rank: 3

积分成就
易币
贡献
主题
精华
金钱
积分
153
注册时间
2023-8-24
最后登录
1970-1-1

勋章墙

2024-2-15 12:04:13 | 显示全部楼层
感谢分享,很给力!~
★★全日制实地培训★★,报名联系QQ 1615457736
回复

使用道具 举报

返回列表 发新帖
如果懒得打字,请选择右侧内容快捷回复 提醒:以任何方式进行『恶意灌水』的行为,进行封号处理
  高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

热点推荐上一条 /5 下一条

QQ|网站地图|手机版|小黑屋|乐易论坛-乐易网 | 湘ICP备19007035号

拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表乐易立场!

娄底市乐易网络科技有限公司声明:乐易原创培训课程版权均为我公司所有,未经许可,不得擅自翻录,盗版,破解本站课课程,我们将保留法律诉讼的权利

GMT+8, 2025-7-6 03:38 , Processed in 0.046661 second(s), 48 queries .

Powered by Discuz! X3.4

Copyright © Tencent Cloud.

快速回复 返回顶部 返回列表