请各位老师出个教程逆向此软件实在是太难了,易语言VMP3.0.9的壳
本帖最后由 wojiuaihainan 于 2023-9-22 10:40 编辑下载:https://wwap.lanzoum.com/iAKVe195drfg密码:hbyb
逆向前的工作,查壳,查到了是VMP的壳子,正常来说VMP区段会显示VMP0,VMP1,此作者改了一下VMP的默认名字想混淆视听,知道是VMP的壳子以后,无非是脱壳或打补丁两种方式,先看看能不能脱
第1步,把插件都打开
第2步,设置首次启动时的断点方式
第3步,打开需要逆向的软件.exe
第4步,全速运行发现被反调试
第5步,重新载入exe,过反调试
第6步,按Ctrl+G,跟随表达式窗口输入LocalAlloc
第7步,在跟随处下断点
第8步,按F9运行至该断点(没有运行到的可以多运行几次直至运行到该断点)
第9步,对堆栈处鼠标右键,点击查找地址
第10步,输入基地址00400000后,点击确定
第11步,此时看到堆栈地址显示上下重叠的地址,往下找一行值为0000000B,有些可能是0000000F
第12步,对0000000B这一行堆栈右键进行修改,修改为0
第13步,ALT+B,将断点禁止
第14步,继续全速运行发现可以正常运行不被检测到反调试了,但是弹出一个专门检测是否以管理员权限运行的信息窗口
第15步,跳转到00401000地址,大家知道这个地址一般是软件OEP地址,所以跳转过去发现出现灰色注释,表明可以分析,我们右键选择从模块中删除分析
第16步,进行中文搜索
第17步,接着Ctrl+F进行搜索,输入“请右键管理员身份运行助手哦!”,结果没搜到,说明关键代码被VMP掉了,这个也是人才居然想到这种方法反调试
第18步,思考了一下有哪些方案可以跳过这个检测管理员身份权限,方案1、在MessageBoxA消息窗口处下断点看看能不能往上找跳转,方案2、(在网上看到说GetTokenInformation是检测是否管理员身份运行的一个函数接口)GetTokenInformation处下断点看看能否跳过判断。
最后也没找出来怎么过这个管理员权限检测,没法进行后续的逆向,恳请大佬出手出个完整逆向该软件的教学,脱壳也好是打补丁也好。
来个表哥教一教 可可自己论坛多找找教程看看吧 JuStkK 发表于 2023-9-20 15:30
可可自己论坛多找找教程看看吧
没用,这个都是教程以外的东西,这个软件你逆向一下就知道了,防反调试做的很好,根本就没机会打补丁更别说OEP和IAT还原
这个反调试按道理能直接过的,想过这个弹窗,根据易语言体往下跟弹窗的函数,然后进VMP里面,改下JCC就行,看这个入口应该是VMP 3.6,这种没必要脱壳的,脱不了壳,他函数虚拟化了,你直接修复iat,dump,自己能运行,但是跨平台过不去,别人就跑不起来,如果真要写的话,把反调试过掉,找验证的JCC判断,打内存补丁,hook就行,没必要非要脱壳,VMP脱壳不是想得这么容易 本帖最后由 wojiuaihainan 于 2023-9-25 09:08 编辑
jjyjjy003159 发表于 2023-9-20 18:42
这个反调试按道理能直接过的,想过这个弹窗,根据易语言体往下跟弹窗的函数,然后进VMP里面,改下JCC就行, ...
易语言体(FF25)已经被VM得看不出来了,大佬能否再具体一点?现在我这个情况就是想打补丁,但是这个检测管理员权限的弹窗去掉也会销毁,不去掉也会销毁,我现在需要先找到从哪里开始判断是否以管理员权限运行,然后再跳过这段判断代码来实现过这个弹窗。
我把断点打在MessgeBoxA上可以定位到这个信息窗口的函数入口,如果此时按照正常的操作方法是点击确定后,执行到return,往上找跳转,但是从哪里调用的已经被VM掉了,回溯不出来,因为点完确定以后程序就已经跑飞了,销毁结束了, JuStkK 发表于 2023-9-20 17:56
大佬牛B,出个教程{:5_188:} 学习一下
页:
[1]