-
-
[原创]浅谈SE脱壳
-
发表于:
2024-1-23 04:50
5298
-
测试环境:win11
工具来源:Vidar-ST团队
本程序仅供学习与参考 如有侵权请联系作者删除
接上期的VMP一键自动脱壳后 来浅浅分析逆向SE
工具下载https://wwun.lanzn.com/b033dhx6b
密码:cge7
拖入OD查看
也是用到了SE的解码API(CreateWindowExW)
至于为什么不用GetVersion或者是其他的API 因为IAT已经被加密或删除了
待我们找到OEP的时候 可以看到入口也是被抽取了一个 但是无伤大雅 可以直接使用工具来修复OEP
这次使用的还是接上期VMP一键脱壳制作的工具 工具网盘下载即可
使用cmd调用工具运行
修复完成直接来到入口点dump文件
再次脱入ODdump出来的文件
接下来见图片!
此时我们再打开一个OD 随便载入一个易语言程序(用于对照修复IAT调用)
修复后是这样的 接下来F8运行 发现程序还是结束
被SE加密的IAT太多了 只能挨个修复
整体来说是这个样子的 挨个对照修复即可脱壳 但是脱壳浪费时间 而且脱壳成本很高 但是SE对内存的保护却不是很强大 所以可以选择打破解补丁或其他的破解方式进行逆向工程
关于为什么没有壳验证使用SE加密 也就是因为SE没有给用户留调用接口 如VMP调用可生成xml 但SE不行
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
最后于 2024-1-23 04:54
被smt_团长编辑
,原因: