首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[求助]求将VMP混淆的代码还原的办法
发表于: 2009-11-12 14:12 3479

[求助]求将VMP混淆的代码还原的办法

杨洋 活跃值
2009-11-12 14:12
3479
下载了一个某商业破解网站的商业破解,并脱壳(ARM)后想学习,发现被VMP混淆过了代码,现向各位请教,如何还原成未混淆的代码呢?

混淆后的代码片断如下
042E8C85   > \8A4424 04     MOV AL,BYTE PTR SS:[ESP+4]
042E8C89   .  3C 02         CMP AL,2
042E8C8B   .  74 03         JE SHORT Userver_.042E8C90
042E8C8D   .  33C0          XOR EAX,EAX
042E8C8F   .  C3            RETN
042E8C90   >  68 BA956DA3   PUSH A36D95BA
042E8C95   .  E8 69E50100   CALL Userver_.04307203
042E8C9A   >  886C24 08     MOV BYTE PTR SS:[ESP+8],CH
042E8C9E   .  FF7424 24     PUSH DWORD PTR SS:[ESP+24]
042E8CA2   .  8F45 00       POP DWORD PTR SS:[EBP]
042E8CA5   .  68 B62753B5   PUSH B55327B6
042E8CAA   .  C60424 8B     MOV BYTE PTR SS:[ESP],8B
042E8CAE   .  8D6424 2C     LEA ESP,DWORD PTR SS:[ESP+2C]
042E8CB2   .- E9 0CEB0100   JMP Userver_.043077C3
042E8CB7   .  F5            CMC
042E8CB8   .  66:C1C8 08    ROR AX,8
042E8CBC   .  9C            PUSHFD
042E8CBD   .  9C            PUSHFD
042E8CBE   .  F8            CLC
042E8CBF   .  66:F7D0       NOT AX
042E8CC2   .  E8 C0F30100   CALL Userver_.04308087
042E8CC7   .  9C            PUSHFD
042E8CC8   .  E3 66         JECXZ SHORT Userver_.042E8D30
042E8CCA   .  83FA 28       CMP EDX,28
042E8CCD   .  74 06         JE SHORT Userver_.042E8CD5
042E8CCF   .  66:83FA 3C    CMP DX,3C
042E8CD3   .  75 06         JNZ SHORT Userver_.042E8CDB
042E8CD5   >  C600 02       MOV BYTE PTR DS:[EAX],2
042E8CD8   .  33C0          XOR EAX,EAX
042E8CDA   .  C3            RETN
042E8CDB   >  68 BA93FC2B   PUSH 2BFC93BA
042E8CE0   .  E8 40E70100   CALL Userver_.04307425
042E8CE5   .  C60424 92     MOV BYTE PTR SS:[ESP],92
042E8CE9   .  C60424 AA     MOV BYTE PTR SS:[ESP],0AA
042E8CED   .  8910          MOV DWORD PTR DS:[EAX],EDX
042E8CEF   .  C60424 10     MOV BYTE PTR SS:[ESP],10
042E8CF3   .  8D6424 04     LEA ESP,DWORD PTR SS:[ESP+4]
042E8CF7   .- E9 ACED0100   JMP Userver_.04307AA8
042E8CFC   .  F755 00       NOT DWORD PTR SS:[EBP]
042E8CFF   .  F5            CMC
042E8D00   .  3F            AAS
042E8D01   .  66:8B45 00    MOV AX,WORD PTR SS:[EBP]
042E8D05   .  60            PUSHAD
042E8D06   .  FF7424 04     PUSH DWORD PTR SS:[ESP+4]
042E8D0A   .  F8            CLC
042E8D0B   .  83ED 02       SUB EBP,2
042E8D0E   .  F9            STC
042E8D0F   .  9C            PUSHFD
042E8D10   .  F8            CLC
042E8D11   .  F9            STC
042E8D12   .  66:2145 04    AND WORD PTR SS:[EBP+4],AX
042E8D16   .  9C            PUSHFD
042E8D17   .- E9 7FFF0100   JMP Userver_.04308C9B
042E8D1C   .^ E9 79FFFFFF   JMP Userver_.042E8C9A
042E8D21   .  66:896424 1C  MOV WORD PTR SS:[ESP+1C],SP
042E8D26   .- E9 84FA0100   JMP Userver_.043087AF

脱壳后的程序附上,希望哪位大大能帮忙指点(请用通俗的语言哦,我的水平非常非常的初级),或者帮助将上面这段片段还原,还原一部分也行(从042E8C90开始),谢谢各位大大了

附件在这里
http://e.ys168.com/?yytfw    在temp目录下

另,这是千方百剂3.0的破解,如果需要原始文件安装的,可以到官方下载

http://www.grasp.com.cn/Download/DownloadFile.gspx?Id=7073188198214194172

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (1)
ddssaa
雪    币: 153
活跃值: (376)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
与其这样搞不如直接搞原版的
2009-11-22 07:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//