ssjjdns 发表于 2022-5-31 18:20

【CM】小小VL壳请求脱壳!

问题描述:
可以脱壳,也可以爆破
最终目标是显示一张图片
当然如果你脱了壳的话,点击按钮就会检测到,然后自动显示一张图片
至于这张图片是什么,大家来试试咯
【注意:图片是有一个完整的人,他说了两个字】
自我分析:
程序有自校验,防止脱壳检测,IAT加密
问题配图 :



病毒查杀截图或链接:
https://s.threatbook.cn/report/file/cdde53ff8f288d4a02af359406fade5b948e7c6a177ecc6571cb2eb5832a9a4a
下载链接:
https://wwt.lanzouq.com/iJM7V05oy4xg


jjyjjy003159 发表于 2022-5-31 18:20

可以写一个Fix IAT插件
识别jmp Imm32
进去以后根据Iat Entry入口判断这是不是IAT Entry
如果是
就识别出RVA
加上基地址
就可以还原IAT地址了
然后在改为
call
就能直接用了

Eric 发表于 2022-6-1 02:52

火绒报了2次毒

StarrySky 发表于 2022-6-1 08:08

VMP的 VM 或者Themida楼主想表达什么呢?

ssjjdns 发表于 2022-6-1 09:12

StarrySky 发表于 2022-6-1 08:08
VMP的 VM 或者Themida楼主想表达什么呢?

这个是VLicense 1.6.1的加壳,不是vmp也不是英格玛

ssjjdns 发表于 2022-6-1 09:13

Icpower 发表于 2022-6-1 02:52
火绒报了2次毒

没毒的哈,不放心可以断网扔进虚拟机

jjyjjy003159 发表于 2022-6-3 22:12

如果没看错的话
这个IAT架构应该是
基地址+RVA

比如说
mov ,dword
call

ssjjdns 发表于 2022-6-4 01:22

jjyjjy003159 发表于 2022-6-3 22:15
可以写一个Fix IAT插件
识别jmp Imm32
进去以后根据Iat Entry入口判断这是不是IAT Entry


思路正确

3821618 发表于 2022-7-19 11:42

本帖最后由 3821618 于 2022-7-19 11:43 编辑

这个应该是程序的OEP了吧,尝试使用Scylla进行修复,但是在IAT自动搜索的时候卡死了,后面就不会弄了

这个是无法运行的

页: [1]
查看完整版本: 【CM】小小VL壳请求脱壳!