PYG_DLL_Patcherx64內(nèi)存補丁制作工具

PYG_DLL_Patcherx64內(nèi)存補丁制作工具是一款可以對主程序進行補制作的工具，可生成注入工具，開啟UPX壓縮輸出。PYG_DLL_Patcher內(nèi)存補丁制作工具僅支持XP系統(tǒng)，DLL劫持型內(nèi)存內(nèi)存補丁制作工具，程序使用VCT+DELPHI2010聯(lián)合開發(fā)。

軟件說明

由于輸入表中只包含DLL 名而沒有它的路徑名，因此加載程序必須在磁盤上搜索 DLL 文件。首先會嘗試從當前程序所在的目錄加載 DLL，如果沒找到，則在Windows 系統(tǒng)目錄中查找，最后是在環(huán)境變量中列出的各個目錄下查找。利用這個特點，先偽造一個系統(tǒng)同名的 DLL，提供同樣的輸出表，每個輸出函數(shù)轉向真正的系統(tǒng) DLL。程序調用系統(tǒng) DLL 時會先調用當前目錄下偽造的 DLL，完成相關功能后，再跳到系統(tǒng)DLL同名函數(shù)里執(zhí)行。這個過程用個形象的詞來描述就是系統(tǒng) DLL 被劫持（hijack）了。
利用這種方法取得控制權后，可以對主程序進行補丁。此種方法只對除kernel32.dll、ntdll.dll等核心系統(tǒng)庫以外的DLL有效，如網(wǎng)絡應用程序的ws2_32.dll、游戲程序中的d3d8.dll，還有大部分應用程序都調用的lpk.dll、sxs.dll，這些DLL 都可被劫持。
偽造的 dll 制作好后，放到程序當前目錄下，這樣當原程序調用原函數(shù)時就調用了偽造的dll的同名函數(shù)，進入劫持DLL的代碼，處理完畢后，再調用原DLL此函數(shù)。
這種補丁技術，對加殼保護的軟件很有效，選擇掛接的函數(shù)最好是在殼中沒有被調用的，當掛接函數(shù)被執(zhí)行時，相關的代碼已被解壓，可以直接補丁了。在有些情況下，必須用計數(shù)器統(tǒng)計掛接的函數(shù)的調用次數(shù)來接近OEP。此方法巧妙地繞過了殼的復雜檢測，很適合加殼程序的補丁制作。
一些木馬或病毒也會利用DLL劫持技術搞破壞，因此當在應用程序目錄下發(fā)現(xiàn)系統(tǒng)一些DLL文件存在時，如lpk.dll，應引起注意。

軟件功能

這種補丁技術，對加殼保護的軟件很有效，選擇掛接的函數(shù)最好是在殼中沒有被調用的，當掛接函數(shù)被執(zhí)行時，相關的代碼已被解壓，可以直接補丁了。在有些情況下，必須用計數(shù)器統(tǒng)計掛接的函數(shù)的調用次數(shù)來接近OEP。此方法巧妙地繞過了殼的復雜檢測，很適合加殼程序的補丁制作。