修改已编译的可执行文件的内存分配

Question

我有一个已编译的可执行文件，无法访问源代码。每次运行时都会将变量分配给内存地址0x7B008C。我试图让它每次使用不同的地址而不是那个地址。它不必是动态的，因为我的目的只是破坏当前存在的修改源程序行为的应用程序。

所以我的问题是，在不破坏程序行为的情况下实现这一目标的最简单方法是什么？

Answer 1

一般来说，你不能。

编译可执行文件时，链接器在机器代码中将对静态变量的引用解析为变量的原始地址。没有留下任何表明存在此类引用的迹象，并且由于 x86 机器代码的性质，以后很难找到这些引用（您不一定能够明确地告诉指令从哪里开始）。

而且，你不知道这是否只是一个普通变量。它可能是静态类或结构的一部分。这些区别在编译后就会丢失，但是当尝试移动变量时，它会变得更加困难 - 代码可能是根据另一个变量的偏移量（即结构的开头）来引用它的。

你真正想在这里完成什么？可能有比仅仅搞乱虚拟内存布局更好的方法。

如果您只是想打破现有的训练器，一种方法（未经测试！）可能是更改进程 ACL。创建进程时，请使用 CreateProcess< /code>并传入 lpProcessAttributes 和 lpThreadAttributes 的自定义安全描述符（对于已经运行的进程，您可以使用 SetSecurityInfo) 。在安全描述符中设置 DACL，以便仅同步 | PROCESS_QUERY_INFORMATION | 进程查询信息PROCESS_SUSPEND_RESUME | 进程暂停授予 PROCESS_TERMINATE 权限（即撤销所有 DACL 条目的所有其他权限）。此技术并非万无一失 - 培训师知道您正在这样做，只需将 DACL 设置回默认值即可；然而，它应该通过拒绝现有培训师的调试访问来破坏他们。

Answer 2

您可能可以通过使用 BEAEngine 浏览整个可执行文件来完成此操作（我说可能因为我从来没有这样做过，以为我使用过 BEAEngine 并且它能够做到这一点），但它会非常复杂并且可能非常复杂。

不过，我不会浪费时间尝试这样做，因为，像 bdonlan 一样，我不会关心人们在单人游戏中使用训练器。还有其他比您所描述的更简单的破坏训练器的方法。