-
-
[旧帖] [原创]一个疑是VMP新版壳的破解 0.00雪花
-
发表于: 2011-4-21 16:57
-
碰到一个疑是VMP新版壳的软件,PEID没认出什么壳,直接用OD载入的话,会自动关闭,需要用到ADVANCE OD和STRONG OD两个插件,把所有异常都忽略,所有反调试都勾上,修复OD后再进行载入
观察这个表可以发现用TLS段,一般这种情况都会对模块入口进行验证,所以,设置载入停留位置为系统断点
也来看看模块入口:
入口之后是不停的跳转,没完没了的,这是个虚拟机,还是别看代码的好,按F9直接运行,
结果提示:A debugger has been found running in your system.Please,unload it from memory and restart your program。
这个时候得想办法拦截它调用API的代码,于是:
BP LoadLibralyA
观察堆栈,得到1826101,在tmd1段内,用IDA分析,能找到这个返回地址被设置
然后顺着可以找到关键的一个点了
利用ret来跳转和调用API,就在这个位置下断1823f64,取消其他断点,然后就可以观察这个壳调用API了
直到:一个调用CloseHanle,句柄为DEADC0DE,然后就导入USER32.dll,调用MessageBoxA,输出发现调试器的信息了,失败
观察调用CloseHanle,句柄为DEADC0DE发现,触发了异常,由壳自己的代码处理了这异常。
于是用脚本修改这个位置的返回值,不触发异常
do_CloseHandle:
sti
cmp [esp+4],DEADC0DE
jne check_1
add eip,50 //API ret 位置
mov eax,0
然后可以继续按F9,观察API调用了
直到调用ZwQueryInformationProcess,
参数1E是被调试程序查询调试句柄的,正常运行情况下返回失败,代码为C0000353,调试模式下,返回成功0,buffer放置调试器的句柄
同样修改掉返回值
返回到用户代码后(地址1826101)
脚本处理
mov eax,c0000353
mov [12ff98],0
继续F9,可以看到壳在恢复text段代码,资源段,构建自己的IAT,觉得差不多了情况下,在text段按F2,可以来到原程序的代码空间了
是不是走错房间了。。。。
房间是没错,但房间的东西被偷了,IAT表也是乱七八糟的,直接按F9,软件正常运行了
到这先告一段落吧,后面tmd0段也是个虚拟机,IAT表在堆栈区很整齐的,修正一下,代码被替换的量很大,修复难度很高,过几天继续写
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
