ExeCryptor v2.2.6虚拟机不完全分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

ExeCryptor v2.2.6虚拟机不完全分析

发表于: 2005-10-20 10:56 21890

ExeCryptor v2.2.6虚拟机不完全分析

softworm

2005-10-20 10:56

21890

ExeCryptor v2.2.6虚拟机不完全分析

追ExeCryptor的stolen codes不大容易,跟一跟就会发现总是在某个循环里打转。碰到
类似这样的代码就表示进入循环了:

00587B19 BD 01000000          mov ebp,1
00587B1E F0:0FC12D FCA95500    lock xadd dword ptr ds:[55A9FC],ebp    ; LOCK prefix

004FE66F 89EA                   mov edx,ebp
004FE671 80F2 9D                xor dl,9D
004FE674 50                   push eax
004FE675 68 B4F5DE83          push 83DEF5B4
004FE67A 58                   pop eax
004FE67B  - E9 72C90700          jmp dumped_.0057AFF2
...
00519630 02D0                   add dl,al
00519632  - 0F80 82BAFDFF          jo dumped_.004F50BA
00519638 58                   pop eax
00519639 C0CA 07                ror dl,7
0051963C 53                   push ebx
0051963D 68 EFBB226E          push 6E22BBEF
00519642  - E9 8EBBFDFF          jmp dumped_.004F51D5
...
00534234 23D3                   and edx,ebx
00534236 5B                   pop ebx
00534237 B8 00010000          mov eax,100
0053423C E9 E1650700          jmp dumped_.005AA822

ExeCryptor的文档里使用了虚拟机一词:Protection options中的Virtualization level
定义了虚拟机保护级别。关于oep保护,文档的说明是:

Original entry point code will be transformed and protected like it is wrapped
with crypt_start/crypt_end macros. Note: if you protect Delphi application you
need to use EXECryptor.pas in your project for correct working of this option.

也就是说,对oep代码的保护与使用SDK中的crypt_start/crypt_end宏是一样的。可以自己
写几句代码,使用SDK试试。最好就用Demo版,不选择Anti-debug,这样方便一些。Demo下的
虚拟机代码更简单,我没有细看,但想必不会因为protection level的不同而导致对opcode
进行不同的解释。

对虚拟机代码的分析我用的是dumped_.exe,这样干扰少些。

1. 虚拟机代码的基本结构

在壳代码中定义以下数组:

_2fimh7mp:005A3A18 RegEbp       dd 100h dup(0)
_2fimh7mp:005A3E18 RegEdi       dd 100h dup(0)
_2fimh7mp:005A4220 RegEsi       dd 100h dup(0)
_2fimh7mp:005777EC RegEdx       dd 100h dup(0)
_2fimh7mp:00577BEC RegEbx       dd 100h dup(0)
_2fimh7mp:005A525C RegEcx       dd 100h dup(0)
_2fimh7mp:005A4E54 RegEax       dd 100h dup(0)
_2fimh7mp:005A4A48 RegEsp       dd 100h dup(0)

用于保存进出虚拟机前后的寄存器。

_2fimh7mp:005A463C DecryptedData dd 100h dup(0)

用于保存解出的opcode。

_2fimh7mp:005A3908 busy          db 100  dup(0)

这是个字节数组。所有的数组都包含256个item。ExeCryptor使用了多线程,不同线程中
的代码都会调用虚拟机解释引擎。这个byte数组用于表示对应的slot(这个词是我瞎编的;-)
是否可用,如果为1,代码将选择别的slot。

下面的代码用来选择slot:

00587B19 BD 01000000          mov ebp,1
00587B1E F0:0FC12D FCA95500    lock xadd dword ptr ds:[55A9FC],ebp    ; LOCK prefix
004FE66F 89EA                   mov edx,ebp
004FE671 80F2 9D                xor dl,9D
00519630 02D0                   add dl,al
00519639 C0CA 07                ror dl,7
00534234 23D3                   and edx,ebx
00534237 B8 00010000          mov eax,100
005496E9 F0:0FB0A2 08395A00    lock cmpxchg byte ptr ds:[edx+5A3908],ah ; LOCK prefix
005496F1  - 0F84 E238F6FF          je <dumped_.loc_4ACFD9>
005496F7 E9 00F30000          jmp dumped_.005589FC

如果可用,ebp为index,用来访问上面所有的数组。

虚拟机执行流程大致为:

. 保存寄存器
. 解密opcode及参数
. 执行opcode
. 恢复寄存器

在执行过程中会检测TF标记,如果被跟踪,将破坏访问数据的指针。

调用虚拟机执行代码的形式为:

_2fimh7mp:0054E10E                call l_execute_pcode_2
_2fimh7mp:0054E113                dd 13F66194h  ; 密文dword1
_2fimh7mp:0054E117                dd 652004C7h  ; 密文dword2

call时指向密文数据的指针作为返回地址入栈。有1个dword的,也有2个dword。一般
在IDA中看看后续的代码可以分清。在解码后的判断中也可识别。

opcode大约30种,我没有跟完,只看了追stolen codes相关部分(所以不完全;-)。

值得注意的是,在对密文opcode解码的过程中,执行到第4轮时使用了call(即前面的
54E10E处)时的eflag值。不知道这里我是否理解错了。开始以为是执行到判断处时
的eflag,但看了几次,的确用的是call时进入虚拟机后pushfd的值。

虚拟机解释代码是固定的,但进入的路径(即前面call的地址)很多,我碰到了10余处。

本来想跟出所有的PCode,写个程序patch dumped_.exe,这样一来就无法实现了。
有趣的是stolen codes本身(即被crypt_start/crypt_end保护的代码)基本是明文,
被虚拟机执行的都是壳代码,也许这可以映证前面的判断是对的,壳代码难以判断
被抽取代码的运行状态。

对这点我没有把握:-(。

2. 下面跟一个PCode执行实例

_2fimh7mp:0057915A                call near ptr l_execute_pcode_1 ;
_2fimh7mp:0057915F                dd 0BAC63BB5h
_2fimh7mp:00579163 dword_579163 dd 0D08139CEh

从call处跟进。

0054D5E7  - 0F82 36BBFAFF          jb dumped_.004F9123
0054D5ED 9C                   pushfd
0054D5EE 50                   push eax
0054D5EF 51                   push ecx
0054D5F0  ^ E9 3458FDFF          jmp dumped_.00522E29
...
005348F5 8BCA                   mov ecx,edx
005348F7 870C24                xchg dword ptr ss:[esp],ecx
005348FA 56                   push esi
005348FB 8BF5                   mov esi,ebp
005348FD  - E9 0C48FCFF          jmp dumped_.004F910E

004F910E 873424                xchg dword ptr ss:[esp],esi
004F9111 BD 01000000          mov ebp,1
004F9116 F0:0FC12D FCA95500    lock xadd dword ptr ds:[55A9FC],ebp ; LOCK prefix
004F911E  - E9 A62A0A00          jmp dumped_.0059BBC9

寻找可用的slot。

004FE66F 89EA                   mov edx,ebp
004FE671 80F2 9D                xor dl,9D
004FE674 50                   push eax
004FE675 68 B4F5DE83          push 83DEF5B4
004FE67A 58                   pop eax
004FE67B  - E9 72C90700          jmp dumped_.0057AFF2
...
00519630 02D0                   add dl,al
00519632  - 0F80 82BAFDFF          jo dumped_.004F50BA
00519638 58                   pop eax
00519639 C0CA 07                ror dl,7
0051963C 53                   push ebx
0051963D 68 EFBB226E          push 6E22BBEF
00519642  - E9 8EBBFDFF          jmp dumped_.004F51D5
...
00534234 23D3                   and edx,ebx
00534236 5B                   pop ebx
00534237 B8 00010000          mov eax,100
0053423C E9 E1650700          jmp dumped_.005AA822

005496E9 F0:0FB0A2 08395A00    lock cmpxchg byte ptr ds:[edx+5A3908],ah ; LOCK prefix
005496F1  - 0F84 E238F6FF          je <dumped_.loc_4ACFD9> ; slot空闲
005496F7 E9 00F30000          jmp dumped_.005589FC

004ACFD9 >  C1E2 02                shl edx,2             ; *4,用于访问dword数组
004ACFDC E9 1F010000          jmp <dumped_.loc_4AD100>

004AD100 >  89D5                   mov ebp,edx
004AD102 8F85 183A5A00          pop dword ptr ss:[ebp+5A3A18]  ; 保存ebp
004AD108 5A                   pop edx
004AD109 872C24                xchg dword ptr ss:[esp],ebp
004AD10C 8BC5                   mov eax,ebp
004AD10E  - E9 22ED0A00          jmp dumped_.0055BE35
...
0055BE35 5D                   pop ebp
0055BE36 89BD 183E5A00          mov dword ptr ss:[ebp+5A3E18],edi ; 保存edi
0055BE3C E8 1752FEFF          call dumped_.00541058

逐个保存register,省略。进入是pushfd的值保存在edi内。

...
0053B94F 8BC4                   mov eax,esp
0053B951 8985 484A5A00          mov dword ptr ss:[ebp+5A4A48],eax ; 保存esp
0053B957 50                   push eax
0053B958 68 E8FFBEEE          push EEBEFFE8
0053B95D 58                   pop eax
0053B95E 81F0 51CB835E          xor eax,5E83CB51
0053B964 E9 CDAD0100          jmp dumped_.00556736

00556736 81C0 B3B41B50          add eax,501BB4B3
0055673C E8 0709FAFF          call dumped_.004F7048

004F7048 871C24                xchg dword ptr ss:[esp],ebx
004F704B 5B                   pop ebx
004F704C 870424                xchg dword ptr ss:[esp],eax  ; push eax
004F704F  - E9 F5E40500          jmp dumped_.00555549

这是被混淆过的代码,eax最终为58E96C,作为返回地址入栈。

00555549  ^\E9 8C34FEFF          jmp dumped_.005389DA ; 解码

005389DA 8B06                   mov eax,dword ptr ds:[esi]  ; 取密文dword1
005389DC 8BD0                   mov edx,eax
005389DE C1C8 10                ror eax,10 ; *
005389E1 66:C1C2 03             rol dx,3    ; *
005389E5 E9 A3C50300          jmp dumped_.00574F8D
...
0057B8BF 03D6                   add edx,esi ; *
0057B8C1 5E                   pop esi
0057B8C2 57                   push edi
0057B8C3 E8 A7CAFBFF          call dumped_.0053836F
...
005A1129 81C7 E5BACC97          add edi,97CCBAE5
005A112F 9D                   popfd
005A1130 33D7                   xor edx,edi ; *
005A1132  ^ E9 2B05FDFF          jmp dumped_.00571662

标有*的为解码代码,这里执行完1轮。共16轮(不会是什么密码学算法吧,眼拙没看出来)。

004F8C79 57                   push edi ; 第4轮时使用eflag
004F8C7A 5A                   pop edx
...
004F8AFD 84F1                   test cl,dh ; 检测TF位
...
0054A6AA 0F95C1                setne cl
0054A6AD D3C8                   ror eax,cl ; eax为上轮结果,搞点破坏
0054A6AF E9 83480200          jmp dumped_.0056EF37
...
00589A79 23D7                   and edx,edi    ; 即and edx,000008C1
005A96BE 81CA 3EF7FFFF          or edx,FFFFF73E ;
005A96C4 23C2                   and eax,edx

可以看到eflag为解码过程的确有影响。

...

0057151F 33D7                   xor edx,edi
00571521 5F                   pop edi
00571522 66:33C2                xor ax,dx
00571525 8985 3C465A00          mov dword ptr ss:[ebp+5A463C],eax ;  保存解码结果
0057152B 57                   push edi
0057152C  ^ E9 92FAFEFF          jmp dumped_.00560FC3
...
0058AE3C 03F7                   add esi,edi  ; add esi,4 移动指针->下1个密文dword
...
00599C43 85C1                   test ecx,eax ; test eax,E0000000h

检测解码结果,若真,代表某些特殊情况,会mov eax,3F,跳过参数处理。我只
碰到过1次。3F似乎等于NOP。这里为false。

00523DBB 85C2                   test edx,eax ; test edx,000000C0h
00523DBD 5A                   pop edx
00523DBE 0F84 356C0300          je dumped_.0055A9F9
00523DC4  ^ E9 C5FDFFFF          jmp dumped_.00523B8E  ; 走这里

若这个检测为true,表示有第2个dword需要处理。这里为true。

00565180 8B16                   mov edx,dword ptr ds:[esi] ; 取第2个dword
00565182 C1E8 08                shr eax,8
00565185 25 FF0F0000          and eax,0FFF
...
00541AC7 23D1                   and edx,ecx ;  and  edx,000FFFFFh,取低20位
...
00569C44 C1E2 0C                shl edx,0C
00569C47 09D0                   or eax,edx
00569C49 8985 F87F5700          mov dword ptr ss:[ebp+577FF8],eax ;保存参数
...
0051BF33 85C2                   test edx,eax ; test eax,00000080h
0051BF35 5A                   pop edx
0051BF36 0F84 BDEA0300          je dumped_.0055A9F9
0051BF3C /E9 02F10200          jmp dumped_.0054B043

这里还有个检查,没看懂,如果51BF3C过去,似乎没什么实质的影响。

...
0055A9F9 C3                   retn ; -> 58E96C 前面入栈的地址

00582560 8B00                   mov eax,dword ptr ds:[eax] ; 取解码结果
00582562 89C3                   mov ebx,eax ; 保存到ebx内
00582564  ^ E9 F083FEFF          jmp dumped_.0056A959
...
00584C9E 25 FF000000          and eax,0FF ; 最低字节为opcode类型
00584CA3 E8 8E5DF9FF          call dumped_.0051AA36

0051AA36 871C24                xchg dword ptr ss:[esp],ebx
0051AA39 5B                   pop ebx
0051AA3A C1EB 08                shr ebx,8 ; ebx保留高24位
0051AA3D 83F8 00                cmp eax,0 ; 开始逐个判断opcode类型
0051AA40 0F85 7C330500          jnz dumped_.0056DDC2
0051AA46 E9 5DBB0100          jmp dumped_.005365A8

这里opcode = 0x44,到这里:

0057F98E FFB5 F87F5700          push dword ptr ss:[ebp+577FF8] ; psuh解出的参数
0057F994 83AD 484A5A00 04       sub dword ptr ss:[ebp+5A4A48],4 ; RegEsp保存值减4
0057F99B 33D2                   xor edx,edx
0057F99D 8BC7                   mov eax,edi
0057F99F E9 71340000          jmp dumped_.00582E15

下面再次检测TF标记,恢复各寄存器后退出虚拟机。

所以,opcode 0x44 = push imm32

3. 解码程序及stolen codes

我写了个程序来帮助分析,包含了跟stolen codes用到的opcode。别的有兴趣的
朋友自己解决了;-)。

#include "stdafx.h"
#include <stdio.h>
#include <windows.h>

#pragma pack(push)
#pragma pack(1)

typedef struct _SEED
{
DWORD dwSeed1;
DWORD dwSeed2;
} SEED,*PSEED;

typedef struct _CIPHER
{
DWORD dwCipher1;
DWORD dwCipher2;
DWORD dwAddr; // for debug,调用地址
} CIPHER,*PCIPHER;

#pragma pack(pop)

SEED seeds[] = {
{0x0012D6B7,0x3BA8D443}, {0x0895445C,0x125AF2C9},
{0xA25E6A75,0x9261DE28}, {0xF967E9C6,0x931AB604},
{0xE74E7E14,0x5C0720F2}, {0x1B032895,0x070A5A10},
{0x429532EE,0xD3AA7A83}, {0x8E1FB211,0xB626113A},
{0x2EE5122A,0xE1719AC6}, {0xF3E3C5AB,0xED28B712},
{0x39502C58,0x536224AA}, {0x5B542ED3,0x9A2010C6},
{0xC28D35D5,0x01434C1A}, {0x4349B4B5,0x05092628},
{0x742FA3CB,0xF63BAA9C}, {0x8DCCEE88,0x962B5A4E},
{0xFDD60B98,0x41FD37AD}, {0x5687BC5F,0x4BA7B00D},
{0x2EE9B07D,0xDA1C3F7F}, {0xD533FEC6,0x64DF11FF},
{0x5B786F02,0x7CFD0370}, {0xF602CC3E,0x6EDA23B9},
{0x766CE221,0xFE351A14}, {0xB6C81829,0xA313B9D8},
{0xAA9CC06B,0xF64D7535}, {0xB6FA5ED0,0x2477B71B},
{0x263A9ED7,0x79A0668D}, {0x09E0F41A,0xEDC2AB89},
{0x8731DF1C,0x47B09DD0}, {0x4FA72153,0x2BE82BC9},
{0xACE42C68,0xA5875C45}, {0xF7CF2D22,0xC0CCC058}};

DWORD Decrypt(DWORD dwCipher,PSEED pSeed,int nNumOfSeeds,DWORD dwEFlag)
{
// dwCipher: 密文数据
// pSeed->dwSeed1: 用于add操作
// pSeed->dwSeed2: 用于xor操作
// dwEFlag: 执行call操作时的eflag值

DWORD dwData = dwCipher;

for(int i = 0; i < nNumOfSeeds; i++)
{

DWORD dwSeed1 = (pSeed + i)->dwSeed1;
DWORD dwSeed2 = (pSeed + i)->dwSeed2;

_asm
{
mov eax,dwData
mov edx,dwData

ror      eax,0x10
rol      dx,0x3
add edx,dwSeed1
xor edx,dwSeed2
xor      ax, dx
mov dwData,eax
}

// 在第4轮后,eflag参与了计算

if(3 == i)
{
   // 8C1 = 1000 1100 0001 -> OF SF ZF CF
   // 73E = 0111 0011 1110

               // 保留了4个标记位信息

               dwData &= (dwEFlag & 0x000008C1) | 0xFFFFF73E;

}
}

return dwData;
}

int main(int argc, char* argv[])
{
CIPHER stCipher;

int nNumOfSeeds = sizeof(seeds) / sizeof(SEED);
ZeroMemory(&stCipher,sizeof(stCipher));

//

stCipher.dwCipher1 = 0xBAC63BB5; // 密文dword1
stCipher.dwCipher2 = 0xD08139CE; // 密文dword2
stCipher.dwAddr = 0x57915F; // 密文dword1地址,用于调试可以不设

//
DWORD dwEFlag = 0x00000246; // 执行call时的eflag

DWORD dwPlain = Decrypt(stCipher.dwCipher1,seeds,nNumOfSeeds,dwEFlag);

printf("解码结果 = %08X\r\n",dwPlain);

// 检测解码结果

DWORD dwParameter = 0;
BOOL bParamAvailable = FALSE;
//

if(dwPlain & 0xE0000000) // 似乎是些特殊代码,跳过参数处理
{
dwPlain = 0x3F; // 不需要参数处理
}
else
{
if(dwPlain & 0x000000C0)
{
bParamAvailable = TRUE;
dwParameter = ((dwPlain >> 0x8) & 0xFFF) |
((stCipher.dwCipher2 & 0x000FFFFF) << 0xC);

// 注意还有个调整参数的动作(51BF33),似乎没有作用
}
}

//

BYTE cRegister = 0;
PCHAR lpszRegister[] = {"eax","ecx","edx","ebx","esp","ebp","esi","edi"};

switch (dwPlain & 0x000000FF)
{
case 0x0: // push reg32

printf("%08X: opcode 0x00 -> push %s\r\n",
stCipher.dwAddr,
lpszRegister[(dwPlain >> 0x8) & 0x7]);

break;

case 0x1: // pop reg32

printf("%08X: opcode 0x01 -> pop %s\r\n",
stCipher.dwAddr,
lpszRegister[(dwPlain >> 0x8) & 0x7]);

break;

case 0x2: // mov reg32,reg32

printf("%08X: opcode 0x02 -> mov %s,%s\r\n",
stCipher.dwAddr,
lpszRegister[(dwPlain >> 0xB) & 0x7],
lpszRegister[(dwPlain >> 0x8) & 0x7]);

break;

case 0x3:
break;

case 0x4:
break;

case 0x5: // xchg reg32,[esp]

printf("%08X: opcode 0x05 -> xchg %s,[esp] 返回%08X\r\n",
stCipher.dwAddr,
lpszRegister[(dwPlain >> 0x8) & 0x7],
stCipher.dwAddr + 4);

break;

case 0x6: // ret

printf("%08X: opcode 0x06 -> ret\r\n",stCipher.dwAddr);
break;

case 0x7:
break;

case 0xC0: // jmp imm32

printf("%08X: opcode 0xC0 -> jmp %08x\r\n",
stCipher.dwAddr,
dwParameter);

break;

case 0x82:
break;

case 0x44: // push imm32

printf("%08X: opcode 0x44 -> push立即数%08X,返回%08X\r\n",
stCipher.dwAddr,
dwParameter,
stCipher.dwAddr + 8);

break;

case 0x84: // 似乎和0x44相同? push imm32

printf("%08X: opcode 0x84 -> push立即数%08X,返回%08X\r\n",
stCipher.dwAddr,
dwParameter,
stCipher.dwAddr + 8);

break;

case 0x10:
break;

case 0x11:
break;

case 0x12:
break;

case 0x13:
break;

case 0x14:
break;

case 0x15: // smc

printf("%08X: opcode 0x15-> SMC修改%s所指代码为%02x,返回%08x\r\n",
stCipher.dwAddr,
lpszRegister[(dwPlain >> 0x8) & 0x7],
(dwPlain >> 0xB) & 0x000000FF,
stCipher.dwAddr + 4);

break;

case 0x16:
break;

case 0x17:
break;

case 0x83:

// 这个不太肯定,处理代码直接测试ebp(当前slot的offset)而不是外界的数据
// 004AC8F7 test ebp, 1 ; 把offset当eflag测试CF,还是测试ebp的奇偶性(这样是jp)
// 004AC8FD jz    loc_53D934 ; 这里直接返回call的下一行
// 004AC903 jmp    loc_52467F ; 这里跳到解出的参数地址

// 不过对于ExeCryptor这种代码是干扰代码,最终会走到同样的地址
// 所以这里是否精确不大重要,但跟踪时要跟到test的结果才知道返回哪里

printf("%08X: opcode 0x83-> jc %08x\r\n",
stCipher.dwAddr,dwParameter);

break;

case 0x20: // 与0x20的比较是>=,(在5282C9)放在case内是否合适?
break;

case 0x3F:

printf("%08X: opcode 0x3F-> nop 返回%08x\r\n",
stCipher.dwAddr,
stCipher.dwAddr + 8);

break;

default:

if(0x8 == (dwPlain & 0x000000F8))
{
DWORD dwType = dwPlain & 0x7;
DWORD dwSrcRegister = (dwPlain >> 0x8) & 0x7;
DWORD dwDstRegister = (dwPlain >> 0xB) & 0x7;

switch(dwType) // 这里还有别的标记没有跟
{
case 0: // add reg32,reg32 (575755)

printf("%08X: opcode 0x8 -> add %s,%s,返回%08x\r\n",
stCipher.dwAddr,
lpszRegister[dwDstRegister],
lpszRegister[dwSrcRegister],
stCipher.dwAddr + 4);
break;

case 7: // cmp reg32,reg32

printf("%08X: opcode 0x8 -> cmp %s,%s,返回%08x\r\n",
stCipher.dwAddr,
lpszRegister[dwDstRegister],
lpszRegister[dwSrcRegister],
stCipher.dwAddr + 4);

break;

default:
break;

}
}
else
{
DWORD dwConvert = (dwPlain + 0x40) & 0x87;

if(0x80 == dwConvert) // add reg32,imm32
{
printf("%08X: opcode 0x48 -> add %s,%08x 返回%08x\r\n",
stCipher.dwAddr,
lpszRegister[((dwPlain & 0x000000FF) >> 3) & 0x7],
dwParameter,
stCipher.dwAddr + 8);
}
else if(0x81 == dwConvert) // xor reg32,imm32
{
printf("%08X: opcode 0x49 -> xor %s,%08x 返回%08x\r\n",
stCipher.dwAddr,
lpszRegister[((dwPlain & 0x000000FF) >> 3) & 0x7],
dwParameter,
stCipher.dwAddr + 8);
}
}

break;
}

return 0;
}

代码可能有错,在与0x11比较后,对解码结果的最低字节做了些变换进行判断,
我放到default内了,可能不一定合适。不对的地方请包涵,指正。

追出的ExeCryptor v2.2.6主程序stolen code为:

004C74D0 >  55             push ebp
004C74D1 8BEC          mov ebp,esp
004C74D3 83C4 F4       add esp,-0C
004C74D6 B8 20724C00    mov eax,dumped_.004C7220
004C74DB E8 6CF5F3FF    call <dumped_.Sysinit::__linkproc__ InitExe(void)>
004C74E0 >  A1 D4634E00    mov eax,dword ptr ds:[4E63D4]
004C74E5 >  8B00          mov eax,dword ptr ds:[eax]
004C74E7 E8 0CB8F8FF    call <dumped_.Forms::TApplication::Initialize(void)>
004C74EC E8 C7A6FFFF    call <dumped_.sub_4C1BB8>
004C74F1 A1 D4634E00    mov eax,dword ptr ds:[4E63D4]
004C74F6 8B00          mov eax,dword ptr ds:[eax]
004C74F8 BA 54754C00    mov edx,offset <dumped_.aExecryptor>    ; ASCII "EXECryptor"
004C74FD E8 FAB3F8FF    call <dumped_.Forms::TApplication::SetTitle(System::AnsiString)>
004C7502 E8 B1A6FFFF    call <dumped_.sub_4C1BB8>
004C7507 E8 ACA6FFFF    call <dumped_.sub_4C1BB8>
004C750C >  8B0D B0614E00 mov ecx,dword ptr ds:[4E61B0]
004C7512 A1 D4634E00    mov eax,dword ptr ds:[4E63D4]
004C7517 8B00          mov eax,dword ptr ds:[eax]
004C7519 8B15 98214C00 mov edx,dword ptr ds:[<off_4C2198>]
004C751F E8 ECB7F8FF    call <dumped_.Forms::TApplication::CreateForm(System::TMetaClass *,void *)>
004C7524 >  A1 D4634E00    mov eax,dword ptr ds:[4E63D4]
004C7529 8B00          mov eax,dword ptr ds:[eax]
004C752B E8 60B8F8FF    call <dumped_.Forms::TApplication::Run(void)>
004C7530 90             nop
004C7531 90             nop
004C7532 90             nop
004C7533 90             nop
004C7534 90             nop
004C7535 >  90             nop
004C7536 90             nop
004C7537 90             nop
004C7538 90             nop
004C7539 90             nop
004C753A 90             nop
004C753B 90             nop
004C753C 90             nop
004C753D 90             nop
004C753E 90             nop
004C753F 90             nop
004C7540 90             nop
004C7541 90             nop
004C7542 90             nop
004C7543 90             nop
004C7544 90             nop
004C7545 E8 D2C5F3FF    call <dumped_.System::__linkproc__ Halt0(void)>
004C754A 0000          add byte ptr ds:[eax],al

最后,修复oep处的stolen codes不足以解决跨平台问题。主程序很多地方使用
了SDK,还会返回壳内(因此也还会启动那些anti-debug线程)。要想剥干净,可以
把被抽掉的代码全部修复。

我是不想玩了,已经快精神错乱了......

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#VM保护

收藏・1

免费・7

支持

最新回复 (21)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼强贴必留名, 我顶 2005-10-20 11:00 0
寒江雪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	寒江雪 3 楼强开始突破虚拟机了 2005-10-20 11:03 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼佩服，看来得努力跟进，现在壳越来越变态了。 2005-10-20 11:03 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 5 楼南蛮妈妈忍不住再顶一次啊 good good study, day day up 2005-10-20 11:17 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 6 楼看的我都要精神错乱了 2005-10-20 14:28 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 7 楼强贴！！！ 2005-10-20 14:32 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 8 楼支持，先收下慢慢学啊！ 2005-10-20 16:01 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 9 楼迷惘ing... 2005-10-20 16:09 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 10 楼强！学习.. 2005-10-20 17:59 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 11 楼强贴必留名，我顶。 2005-10-21 08:59 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 12 楼分析虚拟机很牛了 2005-10-21 09:02 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 13 楼牛,只有顶! 2005-10-21 09:10 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 14 楼最初由 lnn1123 发布牛,只有顶! 2005-10-21 17:42 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 15 楼顶! 2005-10-21 20:48 0
xingbar168 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	xingbar168 16 楼顶你以下, 2005-10-21 20:48 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 17 楼有点意思啊 2005-10-21 21:32 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 18 楼学习. 2005-10-21 22:00 0
xy2000 雪币： 107 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 123 粉丝 1 关注私信	xy2000 1 19 楼太高深了,看的有点头大,看来要慢慢的研究了. 2005-10-22 10:26 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 20 楼占了20楼了，支持！！！ 2005-10-22 14:00 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼巨牛,占21楼,21=单喷. 2005-10-22 18:09 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 22 楼看到钷?...??.... 2005-10-22 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softworm

发帖

1050

回帖

1210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 2 楼强贴必留名, 我顶 2005-10-20 11:00 0
寒江雪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	寒江雪 3 楼强开始突破虚拟机了 2005-10-20 11:03 0
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 4 楼佩服，看来得努力跟进，现在壳越来越变态了。 2005-10-20 11:03 0
南蛮妈妈雪币： 233 活跃值： (130) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 472 粉丝 0 关注私信	南蛮妈妈 3 5 楼南蛮妈妈忍不住再顶一次啊 good good study, day day up 2005-10-20 11:17 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 6 楼看的我都要精神错乱了 2005-10-20 14:28 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 7 楼强贴！！！ 2005-10-20 14:32 0
wenglingok 雪币： 671 活跃值： (723) 能力值： ( LV9，RANK：1060 ) 在线值：发帖 52 回帖 679 粉丝 1 关注私信	wenglingok 26 8 楼支持，先收下慢慢学啊！ 2005-10-20 16:01 0
baby2008 雪币： 442 活跃值： (1216) 能力值： ( LV12，RANK：1130 ) 在线值：发帖 87 回帖 1435 粉丝 5 关注私信	baby2008 28 9 楼迷惘ing... 2005-10-20 16:09 0
winndy 雪币： 440 活跃值： (737) 能力值： ( LV9，RANK：690 ) 在线值：发帖 45 回帖 776 粉丝 1 关注私信	winndy 17 10 楼强！学习.. 2005-10-20 17:59 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 11 楼强贴必留名，我顶。 2005-10-21 08:59 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 12 楼分析虚拟机很牛了 2005-10-21 09:02 0
lnn1123 雪币： 234 活跃值： (370) 能力值： ( LV9，RANK：530 ) 在线值：发帖 39 回帖 765 粉丝 0 关注私信	lnn1123 13 13 楼牛,只有顶! 2005-10-21 09:10 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 14 楼最初由 lnn1123 发布牛,只有顶! 2005-10-21 17:42 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 15 楼顶! 2005-10-21 20:48 0
xingbar168 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	xingbar168 16 楼顶你以下, 2005-10-21 20:48 0
螳螂雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 115 粉丝 0 关注私信	螳螂 17 楼有点意思啊 2005-10-21 21:32 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 18 楼学习. 2005-10-21 22:00 0
xy2000 雪币： 107 活跃值： (55) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 123 粉丝 1 关注私信	xy2000 1 19 楼太高深了,看的有点头大,看来要慢慢的研究了. 2005-10-22 10:26 0
wangli_com 雪币： 282 活跃值： (233) 能力值： ( LV9，RANK：210 ) 在线值：发帖 11 回帖 111 粉丝 0 关注私信	wangli_com 5 20 楼占了20楼了，支持！！！ 2005-10-22 14:00 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 21 楼巨牛,占21楼,21=单喷. 2005-10-22 18:09 0
syscom 雪币： 245 活跃值： (195) 能力值： ( LV9，RANK：250 ) 在线值：发帖 17 回帖 156 粉丝 1 关注私信	syscom 6 22 楼看到钷?...??.... 2005-10-22 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复