看看这篇分析文章:https://mp.weixin.qq.com/s/84S_pxD6TZeVpc1HC4VsTghttps://xz.aliyun.com/t/13745想知道VMP是怎么脱壳的
在X搜"from:@vxunderground SugarGh0st"就能找到相关信息了https://twitter.com/vxunderground/status/1757651384453787723?t=HseemS2k4TXoEiCiwPkbhg&s=19https://vx-underground.org/APTs/2024/2024.02.09%20-%20SugarGh0st%20RAT%20attacks%20Kazakhstan%20%E2%80%93%20State%20Technical%20Service
DIE查看update.dll_DEDF98E7E085CED2D3266AFA9279E4C7,显示是VMP1.7保护器: VMProtect(1.70)[Max protection]
思路灵感来自这里: https:
/
bbs.kanxue.com
thread
-
246429.htm
这种旧版的VMP,开始在.vmp段运行,最后会跳到在.text段的oep执行,所以逻辑上只要在.text段第一次执行时断下就可以了
为什么不直接在.text段下一个内存执行断点呢?
因为程序会调用VirtualProtect修改.text段的权限,导致内存执行断点失效
x64dbg32位加载update.dll,查看.text段内存,我这里起始地址是0x00231000,建个快照
方法1:
方法2:
2024/5/9
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
有没有64位DLL的教程?
NT10086 有没有64位DLL的教程?