[讨论]我对 [扒掉Vmprotect的外衣~~!]此贴有质疑-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]我对 [扒掉Vmprotect的外衣~~!]此贴有质疑

发表于: 2009-2-21 00:08 15785

[讨论]我对 [扒掉Vmprotect的外衣~~!]此贴有质疑

Nooby

2009-2-21 00:08

15785

//为了研究我写了个很简单的WIN32程序,做为试验,用VMP1.7全壳全保护.所以比较难点~~!

//看到1001240，说明IAT就是在代码段的，我们去这个地址看看,IAT原始地址的表竟然被加密了,虽然真正

地方被找到了,但是被加密了,无防继续看看,下面是1240还出现API,不管它继续
01001240 BA B8 D1 77 8D 64 24 34 0F 84 D6 31 00 00 F3 A4 焊褀峝$4勚1..螭

//估计到这里了,因为IAT的关系,后面00的出现通常意味着结束
01001310 E9 A3 5F 00 00 E9 47 28 00 00 FC B8 AC 17 C3 77 椋_..镚(..?脀
01001320 5B 66 0F B6 CA 56 9C E8 EF 20 00 00 D8 23 C3 77 [f妒V滆?..?脀
01001330 89 4C 24 24 FF 74 24 10 E9 90 60 00 00 E9 D3 4B 塋$$t$閻`..橛K
01001340 00 00 FA 08 00 00 00 00 00 00 00 00 00 00 00 00 ..?............

//由于是加密的IAT表,我们准确点估计一般是在1344结束,安全期间估计为344-354长度,地址为1000
//为了不影响程序的正常运行直接用ImportRec修复,也就是说只修复出现的,接下来是OEP
//惯例直接划到最下面从下往上找,代码被加密了一部分,我们必须从没加密的一部分找到线索
//由于很多代码依然没解开被偷掉了,所以OEP被偷掉的概率比较高,分析代码后,发现跳转到,也不多
//所以原本以为IAT会难点,如今到是OEP难了许多,现在需要的是耐心,慢慢耐心翻就是了

有质疑。1234

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

免费・0

支持

最新回复 (37) 1 2 ▶
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2 楼观注中... 2009-2-21 00:11 0
寂寞雪币： 2181 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	寂寞 3 楼还是魔兽好，大家来魔兽 2009-2-21 00:13 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 4 楼这个地方不能讨论技术吗？我一发贴就关，给人家解答的机会不给？论坛是科学的. 2009-2-21 00:15 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 5 楼哦，如果是科学的，那么请版主亲自核实我说的是否属实，以论定此贴质量。 2009-2-21 00:17 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 6 楼 NO CLOSE,如果是问题的讨论,请修改你的贴,AGAIN. 2009-2-21 00:19 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 7 楼膜拜linhanshi 2009-2-21 00:26 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 8 楼 If you are I agree, I shut down 2009-2-21 00:34 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 9 楼之所以锁帖，是因为此帖影响论坛气氛。如果你认为这帖有问题，到时会与作者沟通的，如果确实有问题，精华标志会去除的。非常欢迎Nooby来讨论。 2009-2-21 01:38 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 10 楼林老还是比较开明的，不像某些LJ版主 2009-2-21 01:40 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 11 楼 WAIT... 2009-2-21 01:56 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 12 楼我不说别的，原贴回复里我发的文件，在壳解压后，设置EIP 100739D（已在贴中给出），DUMP，不修复IAT，直接可以本机运行，不知道楼主那么多徒劳有何用？内容一看，API被加密，无法跨平台。按照此帖方法，只找到了4-5处API，其它全部是硬编地址，不知道文章里吹嘘的IAT已修复等等是否属实。我早先写过一个脚本，但是对此例不适用，后来又写了一篇文章，讲如何修复，现已经提高阅读权限，防止被剽窃了自圆其说。我要求不高，既然作者说很简单，已经完全修复，那就请放一个脱了壳的，给我们见识一下，你的方法太高深，不愿意写出来，我也不强求了。文件在： http://bbs.pediy.com/showthread.php?t=82354 56楼希望不要出现什么XP记事本万能脱壳机之类的笑话。 2009-2-21 02:34 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 13 楼看到你的回帖. 万能脱壳机应该是没有的. 2009-2-21 02:45 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 14 楼有的，只要是XP记事本，什么壳都能脱掉，而且全自动去花，VM代码重塑，乱序还原，完美修复，MD5都不变。 2009-2-21 02:55 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 15 楼没说的,9# 2009-2-21 02:57 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 16 楼今天很热，说话带刺，望前辈包容。个人的态度：技术上的问题不容有迁就。 2009-2-21 03:00 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 17 楼 Nooby: 9#的说明很清楚,联系作者以后会有一个很明确的说法. 2009-2-21 03:03 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 18 楼淡定，淡定~~ 大家消消火 Nooby兄是想讨论技术问题，当然无可非议，不过如果能直接联系发帖作者或者发帖讨论的语气较为平和一些效果肯定更好；而林版作为看雪版主，肯定是希望论坛始终有一种和谐的氛围，深为理解。技术讨论，大大的欢迎，只是有问题可以商量，大伙都是朋友，不必大动肝火。 Nooby兄也是版主，也喜欢有人在自己版块上热论技术问题，但肯定不会希望有人针锋相对，大打出手吧。淡定，过年嘛，一团和气多好都是高手，可能没我插话的份，呵呵。 2009-2-21 08:28 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 19 楼联系过1次,见原贴,结果被猛忽悠了一下,雷到了. 2009-2-21 08:46 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 20 楼 hehe 估计作者看中了你的脚本 2009-2-21 08:53 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 21 楼回复LZ,我说过是保留脱壳,所以这部分代码按正常道理来说它会在后面解密开IAT,我只需修复现有的IAT表就是了,如果,它在后面不对IAT表解密,那么它程序运行起来也就不大可能,我是这样认为的, 所以,我只做到这里,觉得后面没必要再做了,按常规,IAT应该会自己处理开的,无须再修复的,脱壳中会保留那部分解开算法~~! LZ对IAT的解密有质疑我也是理解的,不过你写代码多了就知道了,尤其是C程序写多了,那部分在那,那部分在那很容易就发现了,至于没全解开IAT...是否会有兼容问题,我没试,看代码很头疼的,最近又没耐心看~~~! 我说过,我并没有到代码的入口,也就是dump之前是代码刚被解开~~!按常规来说,不修复被加密的IAT是可以的,因为会按VMP的算法自行解开的. 很多偷掉的代码我都么修,就是让它自行解开~~! 我说的那不好,继续提出你宝贵的意见,一起研究哈~~ 2009-2-21 18:57 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 22 楼脱壳的主要方针是还原部分代码,可以保留重要的保护代码,为的是程序能够稳定运行,所以,我在脱壳的时候会保留大部分VMP的解密代码的,所以只要选择性修复,当然不用修复那么多IAT的^_^ 2009-2-21 19:06 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 23 楼插个话, 不用回帖~ 其实也不用争了. 脱壳的定义每个人不同但是脱壳是为了要逆向, 个人觉得这方式的脱壳对逆向并无帮助等于在OD里动态追踪原文件. 2009-2-21 19:10 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 24 楼 LS,说的对,我这个脱壳是需要的是稳定~~! LS,是需要逆向,那么这个方法不太适合LS很多代码是会保留的,不过在脱掉之后,那些被加密的部分可以手动修复,哪个好象蛮不容易的,我的脱壳方针是不影响任何功能,宁可保留保护代码.但是前提是,脱掉的部分够我研究 2009-2-21 19:18 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 25 楼以事实看,你修的都是没用的,不修一样运行,你修也修不干净,还不如不修. 证据在此http://bbs.pediy.com/showthread.php?t=82506 //需要注意的是ImportRec修复程序的时候不要把应留下的清00了,否则程序会可爱的报错的,我们需要修复的是几个API地址,其中还有保护代码,所以需要稍微处理一下就好了.实际也就不到10个API的修复,手动能把它修复了哈哈~~~! 你说可以手动,你就手动修一个出来吧. 不要忘了你自己说的修复的时候可以参照我发过的IAT和输入表关系的贴来修复~~! 基本上不会出现本机能运行其它运行就错误的情况,这里只是保留式脱壳所以,部分偷掉的代码,根本没处理,但是按以下方法程序保证正常运行. 另外这样脱壳可以得精华,我那个视频也能得精华,不是么?还少了许多误人子弟的话语. 2009-2-21 20:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Nooby

发帖

629

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (37) 1 2 ▶
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 2 楼观注中... 2009-2-21 00:11 0
寂寞雪币： 2181 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	寂寞 3 楼还是魔兽好，大家来魔兽 2009-2-21 00:13 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 4 楼这个地方不能讨论技术吗？我一发贴就关，给人家解答的机会不给？论坛是科学的. 2009-2-21 00:15 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 5 楼哦，如果是科学的，那么请版主亲自核实我说的是否属实，以论定此贴质量。 2009-2-21 00:17 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 6 楼 NO CLOSE,如果是问题的讨论,请修改你的贴,AGAIN. 2009-2-21 00:19 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 7 楼膜拜linhanshi 2009-2-21 00:26 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 8 楼 If you are I agree, I shut down 2009-2-21 00:34 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 9 楼之所以锁帖，是因为此帖影响论坛气氛。如果你认为这帖有问题，到时会与作者沟通的，如果确实有问题，精华标志会去除的。非常欢迎Nooby来讨论。 2009-2-21 01:38 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 10 楼林老还是比较开明的，不像某些LJ版主 2009-2-21 01:40 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 11 楼 WAIT... 2009-2-21 01:56 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 12 楼我不说别的，原贴回复里我发的文件，在壳解压后，设置EIP 100739D（已在贴中给出），DUMP，不修复IAT，直接可以本机运行，不知道楼主那么多徒劳有何用？内容一看，API被加密，无法跨平台。按照此帖方法，只找到了4-5处API，其它全部是硬编地址，不知道文章里吹嘘的IAT已修复等等是否属实。我早先写过一个脚本，但是对此例不适用，后来又写了一篇文章，讲如何修复，现已经提高阅读权限，防止被剽窃了自圆其说。我要求不高，既然作者说很简单，已经完全修复，那就请放一个脱了壳的，给我们见识一下，你的方法太高深，不愿意写出来，我也不强求了。文件在： http://bbs.pediy.com/showthread.php?t=82354 56楼希望不要出现什么XP记事本万能脱壳机之类的笑话。 2009-2-21 02:34 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 13 楼看到你的回帖. 万能脱壳机应该是没有的. 2009-2-21 02:45 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 14 楼有的，只要是XP记事本，什么壳都能脱掉，而且全自动去花，VM代码重塑，乱序还原，完美修复，MD5都不变。 2009-2-21 02:55 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 15 楼没说的,9# 2009-2-21 02:57 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 16 楼今天很热，说话带刺，望前辈包容。个人的态度：技术上的问题不容有迁就。 2009-2-21 03:00 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 17 楼 Nooby: 9#的说明很清楚,联系作者以后会有一个很明确的说法. 2009-2-21 03:03 0
playboysen 雪币： 590 活跃值： (177) 能力值： ( LV9，RANK：680 ) 在线值：发帖 64 回帖 786 粉丝 1 关注私信	playboysen 16 18 楼淡定，淡定~~ 大家消消火 Nooby兄是想讨论技术问题，当然无可非议，不过如果能直接联系发帖作者或者发帖讨论的语气较为平和一些效果肯定更好；而林版作为看雪版主，肯定是希望论坛始终有一种和谐的氛围，深为理解。技术讨论，大大的欢迎，只是有问题可以商量，大伙都是朋友，不必大动肝火。 Nooby兄也是版主，也喜欢有人在自己版块上热论技术问题，但肯定不会希望有人针锋相对，大打出手吧。淡定，过年嘛，一团和气多好都是高手，可能没我插话的份，呵呵。 2009-2-21 08:28 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 19 楼联系过1次,见原贴,结果被猛忽悠了一下,雷到了. 2009-2-21 08:46 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 20 楼 hehe 估计作者看中了你的脚本 2009-2-21 08:53 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 21 楼回复LZ,我说过是保留脱壳,所以这部分代码按正常道理来说它会在后面解密开IAT,我只需修复现有的IAT表就是了,如果,它在后面不对IAT表解密,那么它程序运行起来也就不大可能,我是这样认为的, 所以,我只做到这里,觉得后面没必要再做了,按常规,IAT应该会自己处理开的,无须再修复的,脱壳中会保留那部分解开算法~~! LZ对IAT的解密有质疑我也是理解的,不过你写代码多了就知道了,尤其是C程序写多了,那部分在那,那部分在那很容易就发现了,至于没全解开IAT...是否会有兼容问题,我没试,看代码很头疼的,最近又没耐心看~~~! 我说过,我并没有到代码的入口,也就是dump之前是代码刚被解开~~!按常规来说,不修复被加密的IAT是可以的,因为会按VMP的算法自行解开的. 很多偷掉的代码我都么修,就是让它自行解开~~! 我说的那不好,继续提出你宝贵的意见,一起研究哈~~ 2009-2-21 18:57 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 22 楼脱壳的主要方针是还原部分代码,可以保留重要的保护代码,为的是程序能够稳定运行,所以,我在脱壳的时候会保留大部分VMP的解密代码的,所以只要选择性修复,当然不用修复那么多IAT的^_^ 2009-2-21 19:06 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 23 楼插个话, 不用回帖~ 其实也不用争了. 脱壳的定义每个人不同但是脱壳是为了要逆向, 个人觉得这方式的脱壳对逆向并无帮助等于在OD里动态追踪原文件. 2009-2-21 19:10 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 24 楼 LS,说的对,我这个脱壳是需要的是稳定~~! LS,是需要逆向,那么这个方法不太适合LS很多代码是会保留的,不过在脱掉之后,那些被加密的部分可以手动修复,哪个好象蛮不容易的,我的脱壳方针是不影响任何功能,宁可保留保护代码.但是前提是,脱掉的部分够我研究 2009-2-21 19:18 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 25 楼以事实看,你修的都是没用的,不修一样运行,你修也修不干净,还不如不修. 证据在此http://bbs.pediy.com/showthread.php?t=82506 //需要注意的是ImportRec修复程序的时候不要把应留下的清00了,否则程序会可爱的报错的,我们需要修复的是几个API地址,其中还有保护代码,所以需要稍微处理一下就好了.实际也就不到10个API的修复,手动能把它修复了哈哈~~~! 你说可以手动,你就手动修一个出来吧. 不要忘了你自己说的修复的时候可以参照我发过的IAT和输入表关系的贴来修复~~! 基本上不会出现本机能运行其它运行就错误的情况,这里只是保留式脱壳所以,部分偷掉的代码,根本没处理,但是按以下方法程序保证正常运行. 另外这样脱壳可以得精华,我那个视频也能得精华,不是么?还少了许多误人子弟的话语. 2009-2-21 20:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复