首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
VMP1.7 的求助
发表于: 2010-2-22 15:04 4766

VMP1.7 的求助

samsons 活跃值
2010-2-22 15:04
4766
目标是一个dll,是一个游戏程序的扩展非外挂。游戏我有但是苦于不会写这个副本。所以想脱了壳自己接入游戏。麻烦大侠们帮下手。指导下小弟   看看哪里错误了?顺便告诉下下一步怎么做膜拜大侠们?
附件地址:点击进入下载-W.rar

OD载入 F8跟到这里VirtualProtect下断F2  F9运行3次  打开内存M    WzAg的test  F2下断 F9运行 然后找虚拟释放一直F7

118B4D55    FF7424 1C       push dword ptr ss:[esp+1C]
118B4D59    9D              popfd
118B4D5A    FF7424 04       push dword ptr ss:[esp+4]
118B4D5E    FF7424 24       push dword ptr ss:[esp+24]
118B4D62    C2 2800         retn 28                                  ;// 我估计的虚拟释放??对否
118B4D65    9C              pushfd
118B4D66    9C              pushfd

下断F2  F9运行 然后打开内存M    WzAg的test下断F2  F9运行  

10017F38  |.  E8 C0EB8A01   call WzAg.118C6AFD
10017F3D  |.  90            nop
10017F3E  |.  8B75 FC       mov esi,[local.1]
10017F41  |.  3375 F8       xor esi,[local.2]
10017F44  |.  E8 E0A88B01   call WzAg.118D2829
10017F49  |.  90            nop                                      ;  到这里了就不知道怎么找OEP了?
10017F4A  |.  33F0          xor esi,eax
10017F4C  |.  E8 EBD48901   call WzAg.118B543C
10017F51  |.  90            nop
10017F52  |.  33F0          xor esi,eax
10017F54  |.  E8 DDD58901   call WzAg.118B5536
10017F59  |.  90            nop

我估计的OEP是

10017F92  |.  5E            pop esi
10017F93  |>  5F            pop edi
10017F94  |.  5B            pop ebx
10017F95  |.  C9            leave
10017F96  \.  C3            retn
10017F97   $  55            push ebp                                 ;  OEP????????  我估计的
10017F98   .  8BEC          mov ebp,esp
10017F9A   .  83EC 20       sub esp,20
10017F9D   .  53            push ebx
10017F9E   .  56            push esi
10017F9F   .  57            push edi
10017FA0   .  E8 B67CFFFF   call WzAg.1000FC5B
10017FA5   .  33DB          xor ebx,ebx
10017FA7   .  391D 54B48911 cmp dword ptr ds:[1189B454],ebx

之后我尝试了下OD载入直接查看字符串和运行到的字符串对照了下发觉差距

脱壳到这里的字符串:
超级字串参考
地址       反汇编                                    文本字串
1001E825   db C7                                     行
1001E857   mov dword ptr ds:[esi],WzAg.10021C6C      行
1001F030   push WzAg.1001F0D0                        h
1001F0B0   mov dword ptr ds:[1189AA30],WzAg.1002109  @^
1001F0D0   push WzAg.10027800                        \n

OD载入直接运行的字符串:

1001E825   db C7                                     行
1001E857   mov dword ptr ds:[esi],WzAg.10021C6C      行
1001F030   push WzAg.1001F0D0                        h
1001F03C   mov ecx,WzAg.1189B4CC                     <
1001F052   mov ecx,WzAg.1189B508                     ,
1001F0B0   mov dword ptr ds:[1189AA30],WzAg.1002109  @^
1001F0D0   push WzAg.10027800                        \n
1001F0DC   mov ecx,WzAg.1189B4CC                     <
1001F0E6   mov ecx,WzAg.1189B508                     ,

发觉多了:
1001F03C   mov ecx,WzAg.1189B4CC                     <
1001F052   mov ecx,WzAg.1189B508                     ,
1001F0DC   mov ecx,WzAg.1189B4CC                     <
1001F0E6   mov ecx,WzAg.1189B508                     ,

之后就一直迷惘了?麻烦大侠指导下?DLL貌似要重定位不知咋弄可以指导下吗?上传下原文件还有小弟的脱出来的

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
samsons
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
没人可以指导下吗?
2010-2-24 21:12
0
雪雨馨风
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
http://www.unpack.cn/thread-39910-1-1.html
2010-2-25 19:34
0
cjhuengame
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这是那个游戏哦
2010-2-25 19:54
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
3楼,你那链接怎么打不开啊?
2010-2-25 22:39
0
samsons
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
这个大哥我的是DLL重定位可以指导下不?
2010-2-25 22:54
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
额 是菜鸟,帮不了你哦
2010-2-25 23:08
0
liuyq
雪    币: 285
活跃值: (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
8
vmp壳不会脱
2010-2-25 23:08
0
samsons
雪    币: 194
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
哎~~~~~没人帮助啊~~~~~上楼的链接不行啊~~~~~~~~~~
2010-2-28 15:09
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//