关于Rlpack的CodeReplace,我以前写过一个脚本,详见UPK脚本区,是逆向写的,也就是从加密过后的代码出发,找共同点,找特征,然后写脚本修复.效率低不说,而且容易漏,毕竟加壳后试炼品不一定存在所有类型的Replace Code.并且由于在运算过程中,CPUID还要参与计算,那么这个脚本要想跨平台,要么内联一段指令获取,要么就得重写,于是我选择了后者.值得一提的是,老外有个脚本叫做VM Code Translater,显然他是理解有误,并且这个脚本运行效率也极低,所以我有必要重写一个.
     于是我正向跟踪加壳流程,只选择anticracking protection,以及OPTIONS里面的Advanced AntiDump protection,数值稍微设置大点,其他的选项统统不选,这样可以确保在选择最小保护的前提下,依然让其codereplace功能生效.
     OD载入脱壳后的主程序,搜索字符串,查找到

Stolen instruction(s) number: %d

0040CDD8 55 push ebp
0040CDD9 8BEC mov ebp,esp
0040CDDB 83C4 F8 add esp,-8
0040CDDE 60 pushad
0040CDDF C705 CE164200 0>mov dword ptr ds:[4216CE],0
0040CDE9 8B4D 0C mov ecx,dword ptr ss:[ebp+C]
0040CDEC 8B7D 08 mov edi,dword ptr ss:[ebp+8]
0040CDEF 8B75 1C mov esi,dword ptr ss:[ebp+1C]
0040CDF2 8B45 18 mov eax,dword ptr ss:[ebp+18]
0040CDF5 0345 14 add eax,dword ptr ss:[ebp+14]
0040CDF8 8945 18 mov dword ptr ss:[ebp+18],eax
0040CDFB E9 2D0B0000 jmp 0040D92D ; 0040D92D
0040CE00 803F 55 cmp byte ptr ds:[edi],55
0040CE03 75 0C jnz short 0040CE11 ; 0040CE11

1.push xx 68
2.call [] 15FF
3.mov [],eax A3
4.mov [],ecx 0D89
5.mov [],edx 1589
6.mov [],edi 3D89
7.mov ecx,[] 0D8B
8.push [] 35FF
9.mov [],esi 3589
A.CMP [],EBX 1D39
B.CMP [],EAX 0539
C.CMP [],ECX 0D39
D.CMP [],EDX 1539
E.CMP [],ESI 3539
F.CMP [],EDI 3D39
10.MOV EAX,[] 0A1
11.MOV EAX,XX 0B8
12.MOV EBX,XX 0BB
13.MOV ECX,XX 0B9
14.MOV EDX,XX 0BA
15.CALL XX 0E8
16.MOV EBX,[] 1D8B
17.MOV EDX,[] 158B
18.MOV ESI,[] 358B
19.MOV EDI,[] 3D8B
1A.ADD EAX,XX 05
1B.SUB EAX,XX 2D
1C.XOR EAX,XX 35
1D.OR EAX,XX 0D
1E.ADD EBX,XX 0C381
1F.SUB EBX,XX 0EB81
20.XOR EBX,XX 0F381
21.OR EBX,XX 0CB81
22.ADD ECX,XX 0C181
23.SUB ECX,XX 0E981
24.XOR ECX,XX 0F181
25.OR ECX,XX 0C981
26.ADD EDX,XX 0C281
27.SUB EDX,XX 0EA81
28.XOR EDX,XX 0F281
29.OR EDX,XX 0CA81
2A.ADD ESI,XX 0C681
2B.SUB ESI,XX 0EE81
2C.XOR ESI,XX 0F681
2D.OR ESI,XX 0CE81
2E.ADD EDI,XX 0C781
2F.SUB EDI,XX 0EF81
30.XOR EDI,XX 0F781
31.OR EDI,XX 0CF81

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！