-
-
[原创]Unpack Safengine 1.7.7.0(最小保护?)(VB)
-
发表于:
2010-5-30 20:03
9785
-
[原创]Unpack Safengine 1.7.7.0(最小保护?)(VB)
程序参见http://bbs.pediy.com/showthread.php?t=114134
应该是最小保护而且是VB。这个嘛,大家都知道的,柿子都应该挑软的来捏……
栽入之后,StrongOD表示完全没有压力
打开内存列表,发现MSVBVM60.Dll,推测为VB6。VB的入口点就是一个push Imm32跟上Call MSVBVM60.ThunRTMain。
不过鉴于外壳在自己申请的内存快中重载了NTDLL和Kernel32,所以我们需要和谐一下ZwSetInformationThread,这里大家仁者见仁,智者见智了。不多说。
快速到达ThunRTMain之后回溯Esp,上面2行就是OEP,再上面是API的引用,再上面就是API地址,恩恩,VB这点是我最喜欢的。
然后我们再API引用中发现所有的jmp [XXX]都变成了call xxx,所以我们从第一个call追入,然后过了外壳自己实现的GetProcAddress就可以知道这是什么API了。然后我找了一个安全的地方让它自己SMC去了。然后dump,fix IAT。
以为完工了,结果发现dump出来的程序没有图标,一看,外壳把资源的内容清0了。。。。然后从原文件中再进行一个挪移,基本收工。
文件没测试,考虑到是外挂,所以还是算了。附上脱壳之后的文件
好吧,我不是真正的勇士,我没有勇气来面对直面的挑战,所以我从来不写得很详细。毕竟每次捷径被堵上都得再花力气去研究不是么?
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法