【旧文】VMProtect完美脱壳过程
VMProtect完美脱壳过程
1.查看程序
这是我自己写的一个VB的小程序,长得有点丑,别介意。然后自己加了一个壳,是VMProtect v.1.6x - 2.03的壳。
接下来我们国际惯例,用PEID,EXEinfo PE查一下壳
可以看到是加了VMP的壳的,VMP壳的介绍我会放在帖子的最后哦。
2.拉到OD去啦~
push 0xE131EEA3 这其实就是被VM过的OEP,你问我啥是Push?push 就是把什么什么东西压入栈中,你懂吧?就那个右下角的框框!
(注:为了帖子的精华呢我们举个栗子,VC++6.0编译的程序 大家都知道它的OEP开头是push ebp,那大家知道这个push ebp是什么意思吗?push ebp的意思是把ebp压入栈中,就相当于 int main() {} 程序的main函数哦!如果我讲的不够详细大家方可百度看看!)
接下来我们用到一个函数。
3.Ctrl+G搜索VirtualProtectEx(虚拟地址处理)
来到这里之后呢,我们在这个7D85E1FF这里按下键盘上的F2。下一个断点,运行程序,看看程序的变化。
Alt+M 来到这里
我们可以看到有PE文件头,等等等之类的。
我们数一下这里有几个段。
到这个VMP1这里一共是有五个段,啥意思呢?意思是我们运行程序五次,记住,不要第六次哦,第六次就跑飞了,程序跑到虚拟地址里去了。
这是运行五次之后,堆栈的状态
这是运行第六次之后,堆栈的状态
程序已经跑到虚拟地址里面去了,那我们就跑第五次就可以啦
现在是一个很好的返回时机,我们在.text的代码段下一个内存访问断点。然后F9运行,这样我们就跑出了VMP段了。
来到这里之后呢,一直往下跟可以跟到OEP。
我们直接查看,点击M
然后右键.text在反汇编窗口中查看
然后右键分析代码
搜索FF 25
可以来到他的JMP头
往下面看都是有很多的JMP
那么我们就去它的尾巴看看
从模块中删除分析,然后呢,点击M。
ctrl+F搜索76 62 35
这是VB的程序,我们要找到这个,然后可以看到00401368 我们记住这个。
回到反汇编窗口,空格汇编,把我们之前的push 0xxxxxxx改成我们的push 0x401368
然后下面的这个CALL,它CALL的是上面的JMP,那我们也修改一下这个CALL。
修改完是这样的,然后接着我们需要修复转存。
记得不要忘了右键在此处从新的EIP哦
4.修复转存
我们需要打开Import REConstructor 这款工具呢就不做多的介绍了。
找到我们需要修复的进程
然后去OD看看dump的OEP是多少,
114C,复制下来,
点击自动搜索,获取导入表,然后啥的就不说了。
还有LordPE我们修正镜像大小,然后完整转存,这都是正常的修复,都懂。
然后把Import REConstructor 的修复储存到我们LordPE dump出来的软件上就可以啦,我们先点开软件看看吧。
一个是我们原版的,一个是脱壳后的,我们给脱壳后的进行查壳看看。
当当当,脱壳完成。
然后我们打开软件,看看是否可以运行。
1.查看程序
这是我自己写的一个VB的小程序,长得有点丑,别介意。然后自己加了一个壳,是VMProtect v.1.6x - 2.03的壳。
接下来我们国际惯例,用PEID,EXEinfo PE查一下壳
可以看到是加了VMP的壳的,VMP壳的介绍我会放在帖子的最后哦。
2.拉到OD去啦~
push 0xE131EEA3 这其实就是被VM过的OEP,你问我啥是Push?push 就是把什么什么东西压入栈中,你懂吧?就那个右下角的框框!
(注:为了帖子的精华呢我们举个栗子,VC++6.0编译的程序 大家都知道它的OEP开头是push ebp,那大家知道这个push ebp是什么意思吗?push ebp的意思是把ebp压入栈中,就相当于 int main() {} 程序的main函数哦!如果我讲的不够详细大家方可百度看看!)
接下来我们用到一个函数。
3.Ctrl+G搜索VirtualProtectEx(虚拟地址处理)
来到这里之后呢,我们在这个7D85E1FF这里按下键盘上的F2。下一个断点,运行程序,看看程序的变化。
Alt+M 来到这里
我们可以看到有PE文件头,等等等之类的。
我们数一下这里有几个段。
到这个VMP1这里一共是有五个段,啥意思呢?意思是我们运行程序五次,记住,不要第六次哦,第六次就跑飞了,程序跑到虚拟地址里去了。
这是运行五次之后,堆栈的状态
这是运行第六次之后,堆栈的状态
程序已经跑到虚拟地址里面去了,那我们就跑第五次就可以啦
现在是一个很好的返回时机,我们在.text的代码段下一个内存访问断点。然后F9运行,这样我们就跑出了VMP段了。
来到这里之后呢,一直往下跟可以跟到OEP。
我们直接查看,点击M
然后右键.text在反汇编窗口中查看
然后右键分析代码
搜索FF 25
可以来到他的JMP头
往下面看都是有很多的JMP
那么我们就去它的尾巴看看
从模块中删除分析,然后呢,点击M。
ctrl+F搜索76 62 35
这是VB的程序,我们要找到这个,然后可以看到00401368 我们记住这个。
回到反汇编窗口,空格汇编,把我们之前的push 0xxxxxxx改成我们的push 0x401368
然后下面的这个CALL,它CALL的是上面的JMP,那我们也修改一下这个CALL。
修改完是这样的,然后接着我们需要修复转存。
记得不要忘了右键在此处从新的EIP哦
4.修复转存
我们需要打开Import REConstructor 这款工具呢就不做多的介绍了。
找到我们需要修复的进程
然后去OD看看dump的OEP是多少,
114C,复制下来,
点击自动搜索,获取导入表,然后啥的就不说了。
还有LordPE我们修正镜像大小,然后完整转存,这都是正常的修复,都懂。
然后把Import REConstructor 的修复储存到我们LordPE dump出来的软件上就可以啦,我们先点开软件看看吧。
一个是我们原版的,一个是脱壳后的,我们给脱壳后的进行查壳看看。
当当当,脱壳完成。
然后我们打开软件,看看是否可以运行。
扫描二维码推送至手机访问。
版权声明:本文由UzJu的安全屋发布,如需转载请注明出处。
SQL ERROR: ERROR 1105 (HY000): XPATH syntax error: '~root@localhost'
