一个DLL文件无法调试,大神们来支支招
本帖最后由 hou 于 2022-1-2 18:38 编辑查壳显示是2.07++的低版本VMP壳
拉进OD里查看,程序入口指令为
pushfd
push esi
pushad
这里与平时的VMP有区别,VMP壳正常为push xxxxxxxx , call xxxxxxxx
去看一下Section名称是.vmp0,.tls,vmp1
这里与VMP也有区别,VMP通常是vmp0,vmp1相连的
直接运行后,代码区域仍未解密,判定是壳报出来的反调试
提示内容与VMP的反调试文本内容相同
运行后也没有办法附加,估计是改了PE文件字节
尝试用过TitanHide ScyllaHide等工具都没办法过掉这个壳的反调试 ,
自己利用vmp3.5.1加密测试demo,勾选反调试器,都是能正常过掉VMP的反调试,
却对这个版本的VMP没办法,或者说这个根本不是VMP吗{:5_118:}
样本地址: https://wwi.lanzoul.com/irWi0ya088f
3044598236 发表于 2022-1-4 00:42
对不起大佬,我的错,没有看到,也加载了
为了调试的话, 直接就调用函数就好了. 把DLL插入易语言调用. 你这是注入到了系统进程,当然不能调试了...
把DLL通过自己的空壳来调用再附加 Icpower 发表于 2022-1-2 20:05
你这是注入到了系统进程,当然不能调试了...
把DLL通过自己的空壳来调用再附加 ...
这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容,OD就无法识别 hou 发表于 2022-1-2 23:02
这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容, ...
OD会判断进程是否x64,regsvr32是系统进程也是64位,所以OD不能附加 狐白小刺客 发表于 2022-1-2 23:40
OD会判断进程是否x64,regsvr32是系统进程也是64位,所以OD不能附加
这说法貌似不对,如果dll是32位程序,系统也会相对利用32位的C:\Windows\SysWOW64\regsvr32.exe来加载
我特地写了个空白32位程序来做测试,利用regsvr32来调用是可以成功附加调试的
hou 发表于 2022-1-2 23:02
这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容, ...
首先注入DLL和调用DLL是一个意思,只是一个"启动器"或"宿主". 我不知道你杠什么, 给你说了自己用空壳调用函数即可.
那样的话可以看看PE头有没有被清空,或者尝试x32dbg,ollydbg的话会判断很多东西,导致附加因素多 怎么那么像传奇4无双多开的写法 2509220471 发表于 2022-1-3 14:09
怎么那么像传奇4无双多开的写法
雀食 看着像啊{:5_116:}
页:
[1]
2