今天碰到了个ASPack + VMProtect 混合壳,拿来瞻仰下。
先用Peid看一下,Peid显示是ASPack 2.12 -> Alexey Solodovnikov,看区段比一般ASPack多出个VMP0和VMP1的区段,应该是用VMProtect保护的区域了,之前没接触过VMProtect,不知道如何下手,先按普通的ASPack壳的方法试一下:
-----------------------------------------------
00524001 > 60 pushad
00524002 E8 03000000 call 0052400A ; ESP 定律
00524007 - E9 EB045D45 jmp 45AF44F7
0052400C 55 push ebp
0052400D C3 retn
------------------------------------------------
005243B0 /75 08 jnz short 005243BA
005243B2 |B8 01000000 mov eax, 1
005243B7 |C2 0C00 retn 0C
005243BA \68 CBF64F00 push 004FF6CB ; ASCII "h釉L"
005243BF C3 retn ; 传统ASPack的OEP入口,现在好像被虚拟机保护了
-------------------------------------------------
004FF6CB 68 D3D44C00 push 004CD4D3 ; 传统OEP,现在没用了
004FF6D0 E8 D1230200 call 00521AA6
004FF6D5 2818 sub byte ptr [eax], bl
004FF6D7 0038 add byte ptr [eax], bh
004FF6D9 0C 8C or al, 8C
-------------------------------------------------
在传统OEP那里将内容DUMP出来,修复,果然是无法使用。。。
对这种混合壳,小弟确实是没办法了,哪位大哥知道这种壳要怎么脱,麻烦指点一下迷津,谢谢了。。。
软件地址:
http://pickup.mofile.com/5959852703624879
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课