飄云閣(PYG官方)

 找回密碼
 快速注冊

QQ登錄

只需一步,快速開始

查看: 3445|回復: 13
打印 上一主題 下一主題

[原創] VMP 1.6-1.7脫殼記錄(淘淘文件時間修改之星1.4)

[復制鏈接]
  • TA的每日心情
    奮斗
    2019-9-12 15:10
  • 簽到天數: 29 天

    [LV.4]偶爾看看III

    跳轉到指定樓層
    樓主
    發表于 2015-8-7 17:04:54 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
    論壇脫殼這塊比較冷清,剛好本人在學這方面的,于是把過程寫了下,菜鳥文章,大牛路過。VMP版本很老了,主要為練手。

    最近在看天草的VMP和他鄉的VMP教程,感覺都是腳本黨啊,看了只能明白一些東西,有很多很模糊的概念,他鄉這個純碎是只講操作不講原理,坑爹,幸好沒買他的教程,不然虧死。
    因為想練習一下脫這殼,于是上菲凡下了這個東西練手:
    EP:
    007C3B5E >  68 394693A7     PUSH    0xA7934639
    007C3B63    E8 D3541900     CALL    PhotoDat.0095903B
    007C3B68    68 7C3C930F     PUSH    0xF933C7C
    007C3B6D    E8 C9541900     CALL    PhotoDat.0095903B
    007C3B72    82EB 7A         SUB     BL, 0x7A
    007C3B75    C2 F0A7         RETN    0xA7F0

    不確定是哪個版本,先嘗試一下:
    virtualProtect 下斷點(這個斷點教程都有,但為什么用這個卻沒一個說明。。{:soso_e101:}),具體找這個的理由我分析有2個:
    1.因為原來的代碼段是只讀,但是由於VMP把代碼壓縮到另一個位置,要還原這些代碼,必須先把代碼段變成可讀寫
    2.我用ollydbg的TC命令,第一個調用API的地方也是VirtualProtect,但也有可能是GetModuleHande
    利用vritualprotect,然后看看保護的地方,當代碼段還原為readonly,則是返回時機了,這時對.text下內存訪問斷點,然后F9幾下,直到來到.text段的位置(或者是代碼像OEP的地方,代碼會很整齊的)

    這里找到的OEP的RVA是:0019F46C,看到入口是DELPHI,沒被抽取,慶幸。
    于是,到這里看看第一調用CALL,發現第一個API是GetModuleHande,被處理成jmp xxxx,xxxx是VMP段的位置了。
    因為在之前看過kissy的腳本,于是改了下,將入口點和生成API地址的地方記下來,跑腳本修復。
    這個過程中因為有好些地址出現了JMP 到一些并沒有意義的指令里,于是,個人調了很多次,將無意義的地方記下來,如果找到這些地方就不執行。
    后面終於修復成功.
    調試了下,發現是網絡驗證,暫時沒能破解,待后面有時間再爆它菊花吧。{:soso_e113:}
    看了后續版本的VMP脫殼教程,感覺難了不少,不過繼續努力吧,相信能脫掉它的外衣。
    附上腳本



    分享到:  QQ好友和群QQ好友和群 QQ空間QQ空間 騰訊微博騰訊微博 騰訊朋友騰訊朋友
    收藏收藏 轉播轉播 分享分享 分享淘帖 頂 踩 掃碼贊助微信 微信分享
  • TA的每日心情
    開心
    2018-9-11 12:21
  • 簽到天數: 119 天

    [LV.6]常住居民II

    沙發
    發表于 2015-8-31 10:56:23 | 只看該作者
    沒有視頻啊?
  • TA的每日心情
    開心
    2019-3-11 02:31
  • 簽到天數: 7 天

    [LV.3]偶爾看看II

    藤椅
    發表于 2015-9-14 06:46:59 | 只看該作者
    附上腳本    腳本在那下載
  • TA的每日心情
    開心
    2018-9-11 12:21
  • 簽到天數: 119 天

    [LV.6]常住居民II

    板凳
    發表于 2015-9-23 11:56:00 | 只看該作者
    這個殼有點難度啊
  • TA的每日心情
    奮斗
    2015-12-29 09:19
  • 簽到天數: 7 天

    [LV.3]偶爾看看II

    報紙
    發表于 2015-12-18 09:25:36 | 只看該作者
    vmp的最煩,請教樓主,dll怎么破解?無論加殼或者裸體,怎么跟進去?
  • TA的每日心情
    開心
    2016-4-1 13:26
  • 簽到天數: 4 天

    [LV.2]偶爾看看I

    地板
    發表于 2016-3-31 14:40:04 | 只看該作者
    看著還不錯啊
    回復 支持 反對

    使用道具 舉報

  • TA的每日心情
    無聊
    2018-8-23 10:35
  • 簽到天數: 8 天

    [LV.3]偶爾看看II

    7#
    發表于 2016-10-9 07:24:59 | 只看該作者
    學習了 謝謝
    回復 支持 反對

    使用道具 舉報

  • TA的每日心情
    無聊
    2019-11-22 11:01
  • 簽到天數: 509 天

    [LV.9]以壇為家II

    8#
    發表于 2017-1-18 21:49:10 | 只看該作者
    我也不會破解,望有大神師傅教
    回復 支持 反對

    使用道具 舉報

  • TA的每日心情
    開心
    2019-11-22 08:59
  • 簽到天數: 5 天

    [LV.2]偶爾看看I

    9#
    發表于 2017-9-12 20:21:25 | 只看該作者
    說了半天一個毛都沒見到在哪下載
    回復 支持 反對

    使用道具 舉報

  • TA的每日心情
    開心
    2019-8-2 10:00
  • 簽到天數: 2 天

    [LV.1]初來乍到

    10#
    發表于 2019-8-2 10:01:14 | 只看該作者
    最近遇到雙殼,超搞怪
    回復 支持 反對

    使用道具 舉報

    您需要登錄后才可以回帖 登錄 | 快速注冊

    本版積分規則

    關閉

    站長推薦上一條 /1 下一條

    小黑屋|手機版|Archiver|飄云閣安全論壇 ( 粵ICP備15107817號-2 )|掃碼贊助

    Powered by Discuz! X3.3© 2001-2017 Comsenz Inc.

      
    快速回復 返回頂部 返回列表
    14场胜负彩开奖奖金