一个无聊自写的小CM
没有采用VMP或者WL这些的企业VM,只用了一个简单的自写变异,没有任何写法只有一个如果真(编辑框1.内容≠“xxx”)就结束软件,没有任何汇编崩溃用的是易语言自带的结束(),load用的是难寻开源的,手动处理了一下所以打开会慢个2到3秒,请各位试试DUMP或者脱壳掉能正常运行,也不是啥单子,也没有什么正确秘钥才解壳之类,只有最简单的新手,当然可以试试还原代码,各位五一无聊可以看看 下载地址:https://wwhs.lanzouo.com/itUiZ0u8dsch已秒杀!! hkh314306 发表于 2023-5-2 21:31
已秒杀!!
大佬,已经可以脱壳或者dump了正常运行了么,是怎么干掉的能说下过程么我继续完善 xiazai 看看
内存加载的PE用到了VMP的虚拟化 下载看看{:5_116:} by:冷眸 发表于 2023-5-6 02:13
内存加载的PE用到了VMP的虚拟化
那个load加载的DLL 开始是测试导入表加密以后加VMP看慢不慢了 忘记改了,那DLL直接都可以提取出来,不需要处理那个dll,因为没有调用DLL里面啥功能就一个取结构体,因为是CM所以代码加密,导入表加密那些全没开 我掐指一算,CM的密码是154131841啊 {:6_220:}分析完了扭头一看已经是23年的帖子了...
分享一下爆破思路,通过输入口令点击按钮弹出信息框显示假,然后根据获取到的线索开始分析,首先查找“真”“假”的字符串,找到了41A090函数,然后分析函数中的代码:
0x41A090:moveax, ; 加载布尔参数
0x41A094:push esi
0x41A095:push edi
0x41A096:movedi, offset 假 ; 默认指向"假" (0x497730)
0x41A09B:test eax, eax ; 判断布尔值
0x41A09D:jz short loc_41A0A4 ※关键跳转 假→保持"假",真→跳到下一行
0x41A09F:movedi, offset 真 ; 指向"真" (0x49772C)
然后就把0x41A09D跳转nop掉就可以一直显示信息框真了。
至于口令只找到了MD5的值 懒得推口令了 - -! 同理顺着线索往上捋~
页:
[1]