首页
社区
课程
招聘
[原创]浅谈SE脱壳
发表于: 2024-1-23 04:50 5079

[原创]浅谈SE脱壳

2024-1-23 04:50
5079

测试环境:win11
工具来源:Vidar-ST团队

本程序仅供学习与参考 如有侵权请联系作者删除
接上期的VMP一键自动脱壳后 来浅浅分析逆向SE

工具下载https://wwun.lanzn.com/b033dhx6b
密码:cge7

拖入OD查看
图片描述
也是用到了SE的解码API(CreateWindowExW)
至于为什么不用GetVersion或者是其他的API 因为IAT已经被加密或删除了
图片描述
待我们找到OEP的时候 可以看到入口也是被抽取了一个 但是无伤大雅 可以直接使用工具来修复OEP
图片描述
这次使用的还是接上期VMP一键脱壳制作的工具 工具网盘下载即可
图片描述
使用cmd调用工具运行
图片描述

修复完成直接来到入口点dump文件
图片描述
再次脱入ODdump出来的文件
图片描述
接下来见图片!
图片描述
图片描述
图片描述
图片描述
此时我们再打开一个OD 随便载入一个易语言程序(用于对照修复IAT调用)

修复后是这样的 接下来F8运行 发现程序还是结束
图片描述
被SE加密的IAT太多了 只能挨个修复

整体来说是这个样子的 挨个对照修复即可脱壳 但是脱壳浪费时间 而且脱壳成本很高 但是SE对内存的保护却不是很强大 所以可以选择打破解补丁或其他的破解方式进行逆向工程
关于为什么没有壳验证使用SE加密 也就是因为SE没有给用户留调用接口 如VMP调用可生成xml 但SE不行


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2024-1-23 04:54 被smt_团长编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 116
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
帖子内图片可能放错了位置 但是问题不是特别大 如果有不懂的可以回复帖子 看到了会回复
2024-1-23 04:55
0
雪    币: 2948
活跃值: (30846)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
感谢分享
2024-1-23 09:29
1
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
smt_团长 帖子内图片可能放错了位置 但是问题不是特别大 如果有不懂的可以回复帖子 看到了会回复
楼主要是能录制视频教程就好了
2024-1-23 10:58
0
雪    币: 3527
活跃值: (3908)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
可否制作脱壳机呢?
2024-1-23 12:48
0
雪    币: 116
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
SE写脱壳机或者是脱壳的话 意义都不是很大 带壳破解直接打补丁即可
2024-1-23 17:40
0
雪    币: 116
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
SE对内存加密不是特别强
2024-1-23 17:42
0
雪    币: 11736
活跃值: (4023)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
可不可以制作用Enigma Protector 打包的单文件解包器
2024-1-24 10:11
0
游客
登录 | 注册 方可回帖
返回
//