首页
社区
课程
招聘
[讨论]1个可能为VMP加壳的程序版本16.XXX的求脱壳示范。
发表于: 2024-3-31 09:40 4312

[讨论]1个可能为VMP加壳的程序版本16.XXX的求脱壳示范。

2024-3-31 09:40
4312

有没有老师示范下脱壳后我对比下程序变化学习谢谢。版本不高,但这个算是脱壳实战程序了。PE检查显示版本可能是VMP.1.6XXX-2.03。它不是提前准备的示范程序。 PEID则检查不到任何壳。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 1
支持
分享
最新回复 (13)
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2

最新版DIE查出版本是:VMP1.70(最大保护)
找了几个脱壳脚本有两个脚本能正常跑完后生成一个 PE_FIX.mem的文件就没然后了...不知道怎么操作。
1.现在这个程序壳我悬赏300RMB将其脱就行。赏金猎人请回帖后加加我QQ...:。(悬赏撤销)。

最后于 2024-4-3 20:03 被1044671158编辑 ,原因: 删除QQ号。
2024-4-1 18:08
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3

1.附上能正常跑完的OD脚本。

这个脚本也是我学了两天时间找到的,找了好几个脚本都会停下来或出错。但这个脚本可以正常跑完就没然后了...生成的PE_TIX.mem文件是做什么的也不知道。下载脚本的地方没有提供任何教程及文档,没任何头绪。如果你脱掉了该MFC程序的VMP.1.70壳程序,请回帖后并加我2楼的QQ号发脱过的EXE给我验证后领赏。

最后于 2024-4-2 00:50 被1044671158编辑 ,原因: 修改错别字。
上传的附件:
2024-4-2 00:46
0
雪    币: 28
活跃值: (2101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我现在能找到OEP,同时脱出来了一个半成品,但是它能提取有效的资源文件(包括一个vmp保护的dll和一些图片资源等),你需要吗?
2024-4-2 22:24
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
定清先生 我现在能找到OEP,同时脱出来了一个半成品,但是它能提取有效的资源文件(包括一个vmp保护的dll和一些图片资源等),你需要吗?
可以发上来看看。还是加我QQ吧,我需要直接脱壳后程序可以正常运行,功能正常启动运行的。如果没问题我会发你赏金。
2024-4-3 01:08
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
定清先生 我现在能找到OEP,同时脱出来了一个半成品,但是它能提取有效的资源文件(包括一个vmp保护的dll和一些图片资源等),你需要吗?

虽然他是免费启动的程序。但能感觉到发布这个程序的程序员非常狡诈...似乎很重视它。但我感觉这个东西不是他做的,可能只是进行了一些文件整合后上了压缩器编写生成的。所以希望有人能对他发起挑战...。需要脱壳后程序照样正常运行启动就可以了。联系我领取赏金。

最后于 2024-4-3 01:18 被1044671158编辑 ,原因:
2024-4-3 01:17
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7

楼上的兄弟放弃了悬赏金,挑战失败了。同时楼主就此撤销悬赏,看上去并不是一件轻松的事情,作为陌生的朋友也算请他喝瓶饮料吧,本人私下也不抽烟。希望能有下1位挑战者。如果你能成功脱掉该程序的壳程序,那么发个教程上来,并上传脱壳后的副本,用于数据对比。这个程序主要依赖了VMP的壳程序,1.70这么远古的版本至今也没人搞定.哎。


这个程序的运行逻辑是:

  1. 头程序指针启动后会解压一些资源文件+一个DLL模块文件到内存中。

  2. 当操作某个程序指针功能时,会选定加载内存中之前解压释放的DLL文件数据,并启动这个模块运行。

而下面强调的是,该程序的头程序与模块程序DLL文件全部都加了VMP1.70的壳程序....。需要确定头程序的正确切点与DLL载模块启动的正确切点后,在整个程序中先确定头程序正确切点dump转存,再次进行修改在整个程序数据中该DLL模块的正确启动切点再次dump转存应该就能完成整个退壳过程。

而目前市面上用这种方式来进行混淆进壳程序去发布程序很多很多,如果现在不能攻克。后续对一些计算机程序的破解难度也会越来越大。哎。

最后于 2024-4-3 17:53 被1044671158编辑 ,原因:
上传的附件:
2024-4-3 16:39
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8

楼上是第一位挑战者处理过的文件,按他说的应该至少脱了头程序切点的VMP壳程序吧?但并没有...好像什么都没干。不过在他应该是用了一些工具在内存提取了全部资源与数据包括DLL模块文件并修改加注到原程序中,这破坏了原本的编码结构当然不能去运行了。从该文件中把DLL提取出来这个DLL模块文件,通过DIE查看同样有VMP壳程序。

上传的附件:
2024-4-3 17:38
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9

之前骗子不骗小钱的,现在大环境不好啊。20也不放过了....有兴趣自己去试试吧。悬赏撤销。

2024-4-3 20:01
0
雪    币: 28
活跃值: (2101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我再强调一次,我跟你把虚拟机和压缩壳的区别讲的很清楚了,没有我跟你提供的文件你能得到上面的分析?你反手拿到了我跟你分析的东西就说我诈骗你,那有本事你自己分析去啊,不要开这种不要脸的贴子,拿了别人的分析文件还要别人的分析工具,所有东西都拿完了就要把钱要回去再讹诈别人是骗子
2024-4-3 21:04
0
雪    币: 28
活跃值: (2101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11

没见过你这种恶心的人,跟你讲了一个下午还来找我扯,你说我啥都没干,那你自己去写分析去,别人做的就是你想认可就认可,不认可就说是诈骗?你自己说不是这个专业的找人帮忙,帮你了又说没帮然后是诈骗你,你这种人就活该啥都不会

最后于 2024-4-3 21:06 被定清先生编辑 ,原因:
2024-4-3 21:06
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12

回复楼上:

是的,我啥也不会?不懂得去傲慢。那些脱壳机是你做的吧?。怪我期望太高,毕竟虽1.70版本VMP壳程序虽老,但至今没有脱壳机这是事实,为难你这个啥也会的了。期间你明显回复过不搞,不搞你加别人做什么?明显骗子哦。原本是准备如果有人搞定了,也是走某鱼或某宝平台流程的,肯定不会直接转账这个放心。只是因为陌生朋友加好友发个红包而已。没想到现在大环境不好了,骗子连20块也不放过了。这让我避免了更多蒙骗损失。

最后于 2024-4-4 00:06 被1044671158编辑 ,原因:
2024-4-3 23:36
0
雪    币: 28
活跃值: (2101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
你张口闭口只会给别人扣一个骗子的帽子,做人不要太恶心:
1. 样本是我先分析以后才发给你,你验证了才给的红包,你为什么不直接对我的分析提出质疑,而是当时还觉得很好,后面又说我做的完全不对,要把红包收回去?你是把别人一天的工作当做给你打工了是吧,当傻子一样糊弄人?
2. 虚拟机哪怕脱了壳,它混淆的那部分代码依然存在,这是公认事实,DIE能查出来不是很正常?我只能帮你找到原始程序入口点并跟你恢复部分iat,只是缺少最后恢复运行时上下文环境的那部分,你自己作为外行不了解情况,甚至不知道DIE的工作原理,就只会根据DIE能查出来它是vmp保护来分辨脱没脱壳,你觉得谁能满足你的要求?
3. 我从一开始就跟你说了这只是个半成品,从未表示过要一直搞。如果你想要一直做的人,为什么一开始不拒绝我?既然你也明确表示需要这个半成品,在我发你以后,你直接认可了我的工作并给了我1/15悬赏金都不到的钱,这不是一笔合理的交易?你在交易完成以后千方百计地否认我给你的一切说明,执意想把钱要回去,那有本事你别收我的文件啊,凭什么要在我给你已经分析出的基础上再做分析?你这种耍老赖,到货了只退款不退货的行为不更是骗子一个,还有脸说别人是骗子???
2024-4-4 00:26
0
雪    币: 260
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14

疑人不用,用人不疑。楼上的,你以为你多大本事啊?若简单一单300块应该很乐意去做的。直接的说,就是搞不定,搞不定加别人做什么?作为网友交流也可以,但TM你先怀疑楼主的...楼主自然不会跟你客气。道不同不相为谋。骗子一个。

继续去做你的行骗之路吧。 

对行骗这个行当没有任何兴趣,谢谢。


最后一句:你TM自己怎么不去搞定..?。我就1写程序的,对什么保护壳程序毫无兴趣,自然不攻这方面。程序加壳对于写程序的员来说就是毫无意义的无用功。同时还严重影响用户每次运行程序的启动体验。

最后于 2024-4-4 13:35 被1044671158编辑 ,原因:
2024-4-4 13:29
0
游客
登录 | 注册 方可回帖
返回
//