boot 发表于 2022-11-21 20:45

无壳内部VM的E盾释放主程式提取教程

运行环境:
Win7 x64;
涉及工具:
OD 1.10;
教程类型:
提取;
视频是否带有论坛水印:
记事本课件有论坛标识;
是否讲解思路和原理:

是否为悬赏杀手:
是 ;
易语言拖进OD运行就自动退出,无法处理,求大哥
https://www.52hb.com/thread-57510-1-1.html
(出处: 吾爱汇编论坛)


以下为图文内容:

                                无壳内部VM的E盾释放主程式提取
                                    boot 吾爱汇编论坛
                                       2022.11.21

===================
OD准备:运行程序后,附加,恢复所有线程。

注意:此软件针对检测OD。
如果是用x32Dbg,直接启动即可,无需附加。软件不会退出。
如果是用OD,则需要附加并恢复所有线程。如果OD直接启动,则软件退出。

此处的重点不是解决程序退出,而是提取主程式。

我习惯使用OD 1.10,所以此部教程以OD 1.10演示。

API的准备:提前预备DeleteFileA 、DeleteFileW
因为程序登录后会以极快的速度自删除被释放样本,人工的手动操作根本无法及时保存。

正版登录卡号准备:ZS451729106D901729D2644342FBD47A

看文件缩写ezd.key,易之盾。我们暂且称之为E盾吧。

之前简单看了一下,程序的按钮事件被VM了,我们借助E-Debug 3.1插件找到程式的许可地址。


===================
1、登录
mov eax,1
leave
retn


===================
2、时间
mov eax,<Patch_Address>
leave
retn

00703C79    3131            xor   dword ptr , esi             ; Patch_Address



===================
3、第三修改处
leave
retn

准备释放文件了
程序准备删除,由于我们准备了删除断点拦截,所以可以看到,程序是隐藏的。已经释放完毕。
压缩器拷贝转储。

===================
写在最后,这里展示一种简单的解除文件隐藏属性的方法。
文件夹显示设置,按照我这样。
OD载入被隐藏的程序,任意选中一行,无需任何修改,直接保存。
即可得到被解除隐藏属性的副本。

另外查壳区段,出现修补区段.SCY,这个貌似是被人脱壳后二次加了验证。
===================
在这个教程结束后,我会把提取好的样本和该程序运行所需的全部文件打包上传。
坛友下载后尽快转存,我的教程失效后,一般不再受理补链的请求......

(完)

===================
补充:
刚刚排查了一下,提取的文件可用。原来是放在正确的路径即可!





教程链接:
**** Hidden Message *****

弃天帝520 发表于 2022-11-21 20:50

感谢分享

0×Ret 发表于 2022-11-21 21:05

又来学习了

任国富 发表于 2022-11-21 21:18

感谢你的分享

三斤回锅肉 发表于 2022-11-21 21:19

爆破专家啊 赶紧收藏了

逍遥枷锁 发表于 2022-11-21 21:24

非常感谢分享

snak2020 发表于 2022-11-21 21:29

感谢大佬分享,学习

Amethyst 发表于 2022-11-21 21:36

感谢大哥

小当家 发表于 2022-11-21 21:37

学习看呢

温九 发表于 2022-11-21 21:49

楼主辛苦了,谢谢楼主,感谢楼主分享,楼主好人一生平安!!!
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 无壳内部VM的E盾释放主程式提取教程