我最近正在進行一個小型RE項目,該項目需要修補可執行文件。對於小的修改,我知道有足夠的x86可以修補跳轉,nop,無限循環等,因此十六進制編輯器就足夠了。但是較大的呢?
我曾經為此使用OllyDbg,其中包含了許多出色的工具,您可以轉到任意一行,按空格鍵並開始組裝,您替換的指令將自動用NOP填充,甚至還不錯插件以查找代碼陷阱。
不幸的是,這些天OllyDbg似乎幾乎沒有更新,並且無法在64位Windows 8.1上加載任何應用程序,因此我改用了Hiew。 Hiew不錯,但是界面很好,比Olly的界面還有些陳舊,使用起來也很麻煩。
我想知道是否有人知道可以執行相同功能的更多現代工具。
我經常使用 radare2修補二進製文件。它運作良好,它是免費的(就像在自由中一樣),並且可以編寫腳本。
如果您有IDA專業版,則IDA修補程序是最近發布的。雖然我還沒有親自使用它,但它贏得了Hexrays插件競賽之一,而且可能很合理。
https://thesprawl.org/projects/ida-patcher/
過去我也使用過這個簡單的python腳本:
http://stalkr.net/files/ida/idadif.py
它不是現代的,但是可以。
有一些非常好的選擇。
首先,在進行修補時我經常忘記的事情是, LD_PRELOAD 使鉤子/重定向庫例程非常容易。
如果必須打補丁說明,我經常使用的工具是 pwntools (Python庫)和 Fentanyl 代碼>(IDAPython腳本)。
對於 pwntools ,以下示例是在文件地址0x1234修補指令的示例。是虛擬地址0x8001234。請注意,此支持僅限於ELF文件,不適用於PE。
#!/ usr / bin / env pythonfrom pwn import * file = ELF('/ path / to / elf ')file.asm(0x8001234,'nop')#使用虛擬地址文件.asm(file.offset_to_vaddr(0x1234),'nop')#文件offsetfile.save('/ path / to / output') 使用Fentanyl是GUI驅動的,但效果很好,甚至可以點按一下您的指令並修復偏移量。
使用 x64dbg。它與現代Windows上的x86和x64完美配合,您可以像在Olly中一樣進行修補和保存。總體來說,界面與olly非常相似