利用工具半自动修复VMP3.5壳的变异IAT
本帖最后由 学编程的闹钟 于 2024-3-2 14:05 编辑本教程不讲解过反调试,寻找并修复OEP等内容, 只讲解修复变异IAT的部分, 有疑问或者错误的地方可以指出来, 用到的工具有x32dbg vmp3-import-fix-x86 Universal Import Fixer Imports Fixer, 除了x32dbg调试器,其余软件都在附件可以下载
第一步:调试器调试到OEP后暂停(记下OEP地址和进程ID), 可以看见下图中的call FD320A, FD320A这个地址会跳转到.vmp0段, 这里应该是直接调用GetVersion函数的;
第二步:以管理员打开cmd, 执行"vmp3-import-fix-x86 -p 之前记下的进程ID"命令, 执行完命令后随便用个工具dump出来;
第三步:以管理员打开Universal Import Fixer, 进程ID填写之前记下的进程ID, 代码始于和代码止于自己看自己的调试器中的地址填写, 新的IAT VA可以不填写, 勾选修复输入表, 点击开始, 等待修复完后就进行下一步
第四步:以管理员打开Imports Fixer, 进程列表中选择正在调试的进程, 点击IT&IAT, 代码区段中选择.text, OEP填写之前记下的OEP地址, 点击获取导入表, 把无效指针都去掉, 点击修正转储, 选择之前dump出来的文件, 最后dump出来的文件就已经修复完变异IAT啦, 可以把.vmp0和.vmp1区段头和数据全部删除啦
觉得可以的话,给个评分吧!
这个开源的工具有bug吧,mov不会修复吧,所以我才重新开发了一份 jjyjjy003159 发表于 2024-2-27 13:36
这个开源的工具有bug吧,mov不会修复吧,所以我才重新开发了一份
是吗,我测试了几个软件都可以,你重新开发的vmp3-import-fix在哪呢 学编程的闹钟 发表于 2024-2-27 13:38
是吗,我测试了几个软件都可以,你重新开发的vmp3-import-fix在哪呢
我试的vmp3.5,3.6,3.7,3.8都不行,不知道啥原因 jjyjjy003159 发表于 2024-2-27 18:27
我试的vmp3.5,3.6,3.7,3.8都不行,不知道啥原因
3.5以上我没试过,我主要试的3.2-3.5 学编程的闹钟 发表于 2024-2-27 20:46
3.5以上我没试过,我主要试的3.2-3.5
来个视频学习一下 好鸽鸽{:6_201:} 52bug 发表于 2024-2-28 01:21
来个视频学习一下 好鸽鸽
之后会出图文和视频的,现在的我还是菜鸟,需要多练习,哈哈哈 留个脚印,说不定哪天能用的呢! dircou 发表于 2024-2-28 09:44
留个脚印,说不定哪天能用的呢!
说不定哪天我就出图文和视频教程呢 学编程的闹钟 发表于 2024-2-28 09:45
说不定哪天我就出图文和视频教程呢
哈哈,膜拜中
在弄一个天盾的小程序,同一系列有两个软件,一个加了VMP一个没加!