[求助]求一脱VMP的方法或者脚本-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
daienming 雪币： 211 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 2 楼问问noody,他熟悉。 2009-4-2 20:00 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼 //fuck vmp iat by nooby //run the script at ep //vmp code base = va of .vmp0 //vmp code size = size of .vmp0 var vmpbase var vmpsize var magic var isfirst var first var decode var dllname var funcname var stackdep var sFile mov sFile, "iat_log.txt" mov isfirst, 0 mov magic, 0134AE5E mov first, 01007412 mov decode, 01038841 mov stackdep, c Ask "vmp code base" mov vmpbase, $RESULT Ask "vmp code size" mov vmpsize, $RESULT bphws first, "x" bphws magic, "x" bphws decode, "x" looper: esto cmp eip, first je patch cmp eip, magic je setbp cmp eip, decode je patch jmp looper setbp: cmp isfirst, 0 jne p1 inc isfirst bpwm vmpbase, vmpsize wrt sFile, "Fuck VMP IAT\r\n" wrta sFile, "VA, DLL.FUNCTION\r\n" p1: mov tmp, eax len [[esp+stackdep+4]] readstr [[esp+stackdep+4]], $RESULT mov dllname, $RESULT len [[esp+stackdep]] readstr [[esp+stackdep]], $RESULT mov funcname, $RESULT esti esto cmp eip, magic je p1 cmp eip, first je patch cmp eip, decode je patch mov edx, tmp wrta sFile, eax wrta sFile, ", " wrta sFile, dllname wrta sFile, "." wrta sFile, funcname wrta sFile, "\r\n" jmp looper patch: mov [decode], c3 end: ret 2009-4-2 20:15 0
飞翔心雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	飞翔心 4 楼脱壳要动点脑筋！ 2009-4-2 22:12 0
qinglianzi 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	qinglianzi 5 楼先谢谢你！先回去试试这个脚本 2009-12-6 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
daienming 雪币： 211 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 2 楼问问noody,他熟悉。 2009-4-2 20:00 0
ucantseeme 雪币： 442 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 990 粉丝 1 关注私信	ucantseeme 3 楼 //fuck vmp iat by nooby //run the script at ep //vmp code base = va of .vmp0 //vmp code size = size of .vmp0 var vmpbase var vmpsize var magic var isfirst var first var decode var dllname var funcname var stackdep var sFile mov sFile, "iat_log.txt" mov isfirst, 0 mov magic, 0134AE5E mov first, 01007412 mov decode, 01038841 mov stackdep, c Ask "vmp code base" mov vmpbase, $RESULT Ask "vmp code size" mov vmpsize, $RESULT bphws first, "x" bphws magic, "x" bphws decode, "x" looper: esto cmp eip, first je patch cmp eip, magic je setbp cmp eip, decode je patch jmp looper setbp: cmp isfirst, 0 jne p1 inc isfirst bpwm vmpbase, vmpsize wrt sFile, "Fuck VMP IAT\r\n" wrta sFile, "VA, DLL.FUNCTION\r\n" p1: mov tmp, eax len [[esp+stackdep+4]] readstr [[esp+stackdep+4]], $RESULT mov dllname, $RESULT len [[esp+stackdep]] readstr [[esp+stackdep]], $RESULT mov funcname, $RESULT esti esto cmp eip, magic je p1 cmp eip, first je patch cmp eip, decode je patch mov edx, tmp wrta sFile, eax wrta sFile, ", " wrta sFile, dllname wrta sFile, "." wrta sFile, funcname wrta sFile, "\r\n" jmp looper patch: mov [decode], c3 end: ret 2009-4-2 20:15 0
飞翔心雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	飞翔心 4 楼脱壳要动点脑筋！ 2009-4-2 22:12 0
qinglianzi 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 51 粉丝 0 关注私信	qinglianzi 5 楼先谢谢你！先回去试试这个脚本 2009-12-6 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复