替换可执行文件中的异或字符串 (x86)

Question

我有一个正在尝试修补的可执行文件。可执行文件使用 XOR 加密存储字符串。我使用 XORSearch 来查找我正在寻找的字符串。它返回：

找到 XOR FD 位置 3E22：

现在我想更改该字符串。我假设“FD”是异或键，所以如果我用 FD 对新字符串进行异或，我应该能够修补可执行文件。问题是：我在可执行文件中找不到该位置。我不确定位置 3E22 是什么意思。

请帮忙！

Answer 1

位置 3E22 是十六进制的，表示从头开始的字节 15906。

Answer 2

这取决于您的代码是否可重定位。通常，优秀的程序员会编写可重定位代码，因为它可以节省一些空间，例如在使用分支条件时。你想要的是先重新定位代码，然后在该位置修补代码。但这样的异或代码可以通过统计分析轻松破解。你有钥匙吗？