Black丶诸葛 发表于 2018-3-19 16:40

E盾验证,按钮事件被VM,有什么办法可以断下

本帖最后由 Black丶诸葛 于 2018-3-19 16:40 编辑

....上来一看,上一个贴没杀毒链接。GG了。
软件链接:https://pan.baidu.com/s/13dsEhU87oWzhiD5w774CVA 密码:1wik
杀毒链接:https://habo.qq.com/file/showdetail?pk=ADIGZ11qB2YIPVs9
问题:
首先查壳:

是SE的壳,是用易语言编写的。E盾的验证。
代码被VM:


E盾的验证:
1、OD检测
2、卡登陆验证
3、合法性检测

以上3点我自己已经过掉。
主要是面临现在的问题:
易语言按钮事件被VM掉,使用按钮事件特征码,只定位到一个,不是创建窗口走的按钮事件。


E盾在窗口创建完毕后,执行了远程调用JS的服务器运算,我尝试过下断send,ws2_32send的发包断点,都无法断下。

请给我提供个思路,这种被VM按钮事件的,能修复么(论坛实在没搜到,唯一一个也是用的PUSH发绕过的)
如果不修复,有其他断下的方式么(下断易语言的核心事件的话,太多了,没办法分析)。

这个是前一个界面,登录的验证。
0040253A 检测OD,直接retn
00B830AA 登录验证 返回0位验证失败,1位验证成功



sxdx1372 发表于 2018-3-19 16:40

后面就下断字符串拼接的特征码,特征码自己编写查看

狐白小刺客 发表于 2018-3-19 16:52

试问中国有几个人能最简还原VM ?

李沉舟 发表于 2018-3-19 17:44

狐白小刺客 发表于 2018-3-19 16:52
试问中国有几个人能最简还原VM ?

说到底,是研究代码混淆总是缺点什么。目前中国论坛里讨论的最广泛的,还是2003年提出来的对抗反汇编器的花指令。对于系统介绍控制流,数据流混淆的书籍几乎为0,只能在一些论文中找到踪迹。问一个人,代码虚拟化是干什么的,他会说混淆流程,你再问代码展平是什么,他就蒙蔽了,在往下面推,常量展开,不透明谓词,更是天书一般。国内去混淆该停留在搜索特征码,模式匹配的地方。可能说个逆向工程引擎,比如miasm一类的就没几个人知道。

Black丶诸葛 发表于 2018-3-22 09:49

狐白小刺客 发表于 2018-3-19 16:52
试问中国有几个人能最简还原VM ?

大佬出没,{:6_224:}。
没奢求还原啊,现在这个程序载入窗口,走的作者函数,从头到尾被VM了,按钮事件被VM,想看堆栈也没办法,我实在想不出怎么去PJ了。
求大佬给支个招
{:6_224:}我跪好了

Black丶诸葛 发表于 2018-3-22 09:50

李沉舟 发表于 2018-3-19 17:44
说到底,是研究代码混淆总是缺点什么。目前中国论坛里讨论的最广泛的,还是2003年提出来的对抗反汇编器的 ...

又一个大佬{:6_209:}
{:6_224:}我跪好了,大佬这种情况,要继续跟的话,应该怎么办。

Black丶诸葛 发表于 2018-3-26 14:35

sxdx1372 发表于 2018-3-19 16:40
后面就下断字符串拼接的特征码,特征码自己编写查看

大佬,可以的,成功了。这么简单,我没想到

xiaolu0769 发表于 2018-5-13 11:05

Black丶诸葛 发表于 2018-3-26 14:35
大佬,可以的,成功了。这么简单,我没想到

成功了能发个教程学习下吗?{:5_187:}

xfcssz11 发表于 2018-6-6 17:52

李沉舟 发表于 2018-3-19 17:44
说到底,是研究代码混淆总是缺点什么。目前中国论坛里讨论的最广泛的,还是2003年提出来的对抗反汇编器的 ...

哇 ,看发言, 这是个大佬,膜拜下~
页: [1]
查看完整版本: E盾验证,按钮事件被VM,有什么办法可以断下