无壳内部VM的E盾释放主程式提取教程
运行环境:Win7 x64;
涉及工具:
OD 1.10;
教程类型:
提取;
视频是否带有论坛水印:
记事本课件有论坛标识;
是否讲解思路和原理:
否
是否为悬赏杀手:
是 ;
易语言拖进OD运行就自动退出,无法处理,求大哥
https://www.52hb.com/thread-57510-1-1.html
(出处: 吾爱汇编论坛)
以下为图文内容:
无壳内部VM的E盾释放主程式提取
boot 吾爱汇编论坛
2022.11.21
===================
OD准备:运行程序后,附加,恢复所有线程。
注意:此软件针对检测OD。
如果是用x32Dbg,直接启动即可,无需附加。软件不会退出。
如果是用OD,则需要附加并恢复所有线程。如果OD直接启动,则软件退出。
此处的重点不是解决程序退出,而是提取主程式。
我习惯使用OD 1.10,所以此部教程以OD 1.10演示。
API的准备:提前预备DeleteFileA 、DeleteFileW
因为程序登录后会以极快的速度自删除被释放样本,人工的手动操作根本无法及时保存。
正版登录卡号准备:ZS451729106D901729D2644342FBD47A
看文件缩写ezd.key,易之盾。我们暂且称之为E盾吧。
之前简单看了一下,程序的按钮事件被VM了,我们借助E-Debug 3.1插件找到程式的许可地址。
===================
1、登录
mov eax,1
leave
retn
===================
2、时间
mov eax,<Patch_Address>
leave
retn
00703C79 3131 xor dword ptr , esi ; Patch_Address
===================
3、第三修改处
leave
retn
准备释放文件了
程序准备删除,由于我们准备了删除断点拦截,所以可以看到,程序是隐藏的。已经释放完毕。
压缩器拷贝转储。
===================
写在最后,这里展示一种简单的解除文件隐藏属性的方法。
文件夹显示设置,按照我这样。
OD载入被隐藏的程序,任意选中一行,无需任何修改,直接保存。
即可得到被解除隐藏属性的副本。
另外查壳区段,出现修补区段.SCY,这个貌似是被人脱壳后二次加了验证。
===================
在这个教程结束后,我会把提取好的样本和该程序运行所需的全部文件打包上传。
坛友下载后尽快转存,我的教程失效后,一般不再受理补链的请求......
(完)
===================
补充:
刚刚排查了一下,提取的文件可用。原来是放在正确的路径即可!
教程链接:
**** Hidden Message *****
感谢分享 又来学习了 感谢你的分享 爆破专家啊 赶紧收藏了 非常感谢分享 感谢大佬分享,学习
感谢大哥 学习看呢 楼主辛苦了,谢谢楼主,感谢楼主分享,楼主好人一生平安!!!