-
-
[原创]MPRESS v2.12脱壳分析
-
发表于:
2019-10-8 21:10
17255
-
平时喜欢下棋,发现某某名手软件感觉挺好用的样子,想学习一下用什么软件开发的,用ExeInfo PE 查看一下,发现是MPRESS v2.12^ -> [ v2.19 ] - MATCODE comPRESSor for executables (C) 2007,2010, MATCODE Software - www.matcode.com,这个壳的,好像之前没有接触过,查了一下网上,已经有前辈脱过了,自己走一遍吧,记录一下过程。
虚拟机运行看看,哇塞,不让运行
没有办法,照样脱。
OD载入:
下断点 BP VirtualProtectEx , Shift+F9 二次,因为
三次就跑飞了,Alt+F9一次,达到004B883F,看到了 GetModuleHandelA 函数了,
继续,往下看找到了 popad了,哇塞,运气太好了,直接下断点 004B889A,按F9,F8 2次进到入口,
OEP 00492846
OEP:
OEP 00492846
赶快DUMP下来,接下了就说常规操作,
FIX DUMP,运行OK了。
原来是 Microsoft Visual C++ ver. 7.1 EXE (3 bytes sign - easy to fake) 这个写的。
接下来继续分析代码,等待后续。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课