1）脱壳
这个壳很简单（我这个外面还有坚石诚信ET199的壳），可以无视，但在这也顺带说一下思路吧：
我基本上从不先调试程序，基本上会先让其运行，dump之，然后用16进制工具和IDA先分析，找到入口点，VC的、delphi等的都有其固有特征（我是说一般情况）：
VC的入口点基本都要判断PE属性，所以一般必然有如下代码：
.data:007CA429     mov     eax, 5A4Dh
.data:007CA42E     cmp     ds:400000h, ax
看到这个，就知道入口在附近，回溯一下就找到了
Delphi的入口一定在代码段的最后，或者搜索delphi运行时的固定代码串等，
再回到Molebox，假定找到了入口：
.data:00AFEF5D    mov     eax, dword_AF1D28
.data:00AFEF62    push    eax
.data:00AFEF63    popfd;//各位，这个很熟悉吧
.data:00AFEF64    mov     eax, off_AF1D08
.data:00AFEF69    jmp     off_AF1D2C  入口点
发现其IMPORT表并没加密，不过，往上翻一下看看：
.data:00AFEE5F  call    sub_AFFD90  ;//这一行注意，进去看看
.data:00AFEE64  mov     eax, off_B01118
.data:00AFEE69  mov     eax, [eax+10Ch]
.data:00AFEE6F  shl     eax, 18h
.data:00AFEE72  sar     eax, 1Fh
.data:00AFEE75  test    eax, eax

.data:00AFFD90  sub_AFFD90      proc near               ; 
.data:00AFFD90  mov     eax, offset dword_AF6FB8
.data:00AFFD95  loc_AFFD95:
.data:00AFFD95  push    40h
.data:00AFFD97  pop     ecx
.data:00AFFD98  loc_AFFD98:    ; CODE XREF: sub
.data:00AFFD98  xor     dword ptr [eax], 0FFh;//想干啥啊，咱不让干，直接retn
.data:00AFFD9E  add     eax, 4
.data:00AFFDA1  dec     ecx
.data:00AFFDA2  jnz     short loc_AFFD98
.data:00AFFDA4  cmp     eax, offset unk_AF77B8
.data:00AFFDA9  jl      short loc_AFFD95
.data:00AFFDAB  retn
.data:00AFFDAB sub_AFFD90    endp
上面这个程序应该是清重定位表？
接下来大家知道怎么办，不浪费口舌了。
2）谈谈Molebox的VFS（虚拟文件系统）
  一般的情况下，使用h4sh3m的 Virtual Packages Extractor 1.1或者Sh4DoVV的 Extractor均可将文件释放出来，但是如果从NoleBox界面上选择Hide All File的话，这两个工具失去作用的，因为文件名是加密的，看不到，那么如何将文件弄出来呢，我一开始是分析VFS的结构，从STELBOX这个DLL分析中，实际上完全可以将文件读出来，我花了很大功夫反这这些代码，发现采用的是DES算法，如果是数据文件，还需要进行unzip，并且是一块一块解（当然这是内存所限必须这么做），其key就在代码中，每次要读写一个文件时，VFS将其重定向到主程序PE的附加数据位置，再从VFS目录结构中找到对应文件的位置，再用文件操作API读取，解密，解压缩，不过，当做到能将其目录结构解开时已经费了很大劲，这时大致知道了其VFS的mount和文件读写方法，其将系统kernel32，user32，ntdll等API全部编号封装再调用，VFS内支持文件操作的代码：
seg000:00C4C5D0
seg000:00C4C5D0 loc_CE4C5D0:  ; CODE XREF: 
seg000:00C4C5D0                 mov     edx, [ebp+arg_8] ; jumptable 0CE4C5C9 case 0
seg000:00C4C5D3                 mov     eax, [ebp+arg_4]
seg000:00C4C5D6                 push    edx
seg000:00C4C5D7                 push    eax
seg000:00C4C5D8                 call    apif_CreateFile
seg000:00C4C5DD                 pop     ebp
seg000:00C4C5DE                 retn    0Ch
seg000:00C4C5E1 ; ---------------------------------------------------------------------------
seg000:00C4C5E1                 mov     edx, [ebp+arg_8] ; jumptable 0CE4C5C9 case 1
seg000:00C4C5E4                 mov     eax, [ebp+arg_4]
seg000:00C4C5E7                 push    edx
seg000:00C4C5E8                 push    eax
seg000:00C4C5E9                 call    apif_OpenFile
seg000:00C4C5EE                 pop     ebp
seg000:00C4C5EF                 retn    0Ch
seg000:00C4C5F2 ; ---------------------------------------------------------------------------
seg000:00C4C5F2                 mov     edx, [ebp+arg_8] ; jumptable 0CE4C5C9 case 2
seg000:00C4C5F5                 mov     eax, [ebp+arg_4]
seg000:00C4C5F8                 push    edx
seg000:00C4C5F9                 push    eax
seg000:00C4C5FA                 call    apif_ReadFile
seg000:00C4C5FF                 pop     ebp
seg000:00C4C600                 retn    0Ch
。。。
seg000:00C4C658 ; ---------------------------------------------------------------------------
seg000:00C4C658                 mov     edx, [ebp+arg_8] ; jumptable 0CE4C5C9 case 8
seg000:00C4C65B                 mov     eax, [ebp+arg_4]
seg000:00C4C65E                 push    edx
seg000:00C4C65F                 push    eax
seg000:00C4C660                 call    apif_QueDirInfo;//查询目录信息
seg000:00C4C665                 pop     ebp
seg000:00C4C666                 retn    0Ch
分析到这的时候，各位看官可能想到点什么，我是想直接用远线程注入调用apif_QueDirInfo这个函数，不过其入口两个参数困扰了半天，只能翻其SDK看看，正当有点眉目的时候，意外发现一个不能算是漏洞的漏洞（这个先不说了，不要扔砖，毕竟咱也是扣脚大汉），改了一个字节，文件名全部解开了（注意哦，用FileMon也看不到文件名的哦），找到文件清单就好办了，VFS很好的，只要注入线程，直接CopyFile吧。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)