Jump to content
GautamGreat

DBF Manager Inline Template

Recommended Posts

GautamGreat

Here I'm posting Inline patch data of DBF Manager. I was cleaning my pc and found it, hope helpful for somebody.

 

Quote

<01652000>
@VirtualProtect:
    "VirtualProtect\x00"
@DWORD:
    "\x00\x00\x00\x00"
    pushad
    push eax
    "\xE8\x00\x00\x00\x00"
    pop eax
    and eax, 0xFFFFF000
    mov edi, eax
    mov ebx, dword ptr fs:[0x30]
    mov ebx,dword ptr ds:[ebx+0xC]
    mov ebx,dword ptr ds:[ebx+0x14]
    mov ebx,dword ptr ds:[ebx]
    mov ebx,dword ptr ds:[ebx]
    mov ebx,dword ptr ds:[ebx+0x10]        ;ebx == kernel32 PEHeader
    mov ebp, ebx
    add ebx,dword ptr ds:[ebx+0x3C]
    add ebx,dword ptr ds:[ebx+0x10]
    mov ebx,dword ptr ds:[ebx+0x78]
    add ebx, ebp
    mov edx, ebx
    mov esi, dword ptr ds:[ebx+0x20]
    add esi, ebp
    sub ebx, ebx
    mov dword ptr ss:[esp-0x10], edi
@loop:
    inc ebx
    lods dword ptr ds:[esi]
    add eax, ebp
    push esi
    mov esi, eax
    mov ecx, 0xE
    repe cmps byte ptr es:[edi],byte ptr ds:[esi]
    pop esi
    mov edi, dword ptr ss:[esp-0x10]
    jnz @loop
    dec ebx
    mov eax, edx
    mov eax, dword ptr ds:[eax+0x24]
    add eax, ebp
    movzx eax, word ptr ds:[eax+ebx*2]
    mov ebx, edx
    mov ebx, dword ptr ds:[ebx+0x1C]
    add ebx, ebp
    mov ebx,dword ptr ds:[ebx+eax*4]
    add ebx,ebp            ;ebx == VirtualProtect
    mov ecx, edi
    add ecx, E
    push ecx
    push 40
    push 5
    push ebx
    call ebx
    mov byte ptr ds:[ebx], 0xE9
    mov ebp, dword ptr fs:[0x18]
    mov ebp, dword ptr ds:[ebp+0x30]
    mov ebp, dword ptr ds:[ebp+0x8]        ;Modulebase in ebp
    mov ecx, edi
    add ecx, 0xD7        ; end of procedure
    sub ecx, ebp
    mov eax, ebx
    sub eax, ebp
    sub ecx, eax
    sub ecx, 5
    mov dword ptr ds:[ebx+1], ecx        ;VirtualProtect Redirected
    mov ecx, edi
    add ecx, 0x101
    sub ecx, ebp
    mov eax, ebx
    add eax, 5
    sub eax, ebp
    sub eax, ecx
    sub eax, 5
    mov dword ptr ds:[edi+0x102], eax 
    jmp 00DC0E86
    
@ReplacePath:
    pushad            
    cmp dword ptr ds:[004F98F3], 83C0940F
    jne @end
    mov dword ptr ds:[004F98F3], 909001B0
    mov word ptr ds:[004F98F7], 9090
@end:
    popad
    mov edi, edi
    push ebp
    mov ebp, esp
    "\xE9\x00\x00\x00\x00"

Use MultiASM to assemble it

  • Thanks 3

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

Guidelines