吾爱汇编论坛

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 843|回复: 14

vmp3.x的壳搜索不到字符需求破解思路

[复制链接]

  离线 

升级   50%

water201 发表于 2021-11-13 14:10 | 显示全部楼层 |阅读模式


30HB
本帖最后由 water201 于 2021-11-13 14:21 编辑

今天遇到一个vmp3.5的壳,恳请论坛老友们指导一下思路

一、文件分析
文件是一个.dll文件,需要exe文件加载启动
PEID查不出壳,Exeinfo可以
183253mfzwqjlq8pf6mjzq.png

二、使用论坛的OD,可以启动文件,先把程序运行起来
184426e0nf7t1iq7qhnmtm.png
点击登录
1、首先按常规思路,ctrl+E,打开模块,选择需要跟踪的dll文件
183500x3ii5ppba44qasow.png
(由于这个加载地址会变化,很多次加载的dll插件是5XXXXXXX开头的,都是远远大于主程序里面的,主程序基本是1XXXXXXX开头的,
只有偶尔1-2次,我看到dll的模块基址是1开头的,所以如下是保留了1XXX开头的基址,上面模块的截图仅仅做说明!)
Executable modules, 条目 44
基址=1D040000
大小=00B1D000 (11653120.)
入口=1DB35451 chanlun.<ModuleEntryPoint>
名称=chanlun
路径=D:\tdx202006重回经典打板专用\T0002\dlls\chanlun2.0版.dll


然后就是分析->分析代码,
分析->从模块中删除分析,
中文搜索引擎->智能搜索,居然什么也搜索不出来?
183905beuyvyv1rh6serb8.png

2、改用断点,下BP CreateFileA,
184555smsvsm5gq5wwrmqm.png
断下之后,ctrl+F9,2次,到了插件的地方

184658c44czllg751thh59.png
再直接使用中文搜索引擎,智能搜索,可以看到关键文字了
184818s7ss8w8awddmfp7r.png
因为有试用时间,在这里可以看到关键的中文提示了。
找到关键的有剩余时间的地方下断点,
184959fmdb100xzghttqvq.png
往上面翻大概30行左右
这个关键call以后,就在EAX的值看到了asc字符串,这个是需要修改的
185248v1wxhkmxwkvi710w.png

1DB71A5A    8945 D0         mov dword ptr ss:[ebp-0x30],eax |这里改eax的asc值改为:17812
1DB71A5D    8B45 D0         mov eax,dword ptr ss:[ebp-0x30]
1DB71A60    50              push eax
1DB71A61    8B1D C803D11D   mov ebx,dword ptr ds:[0x1DD103C8]
1DB71A67    85DB            test ebx,ebx
1DB71A69    74 09           je short 1DB71A74
记下测试还没有过期的数值(17812),使用大白补丁工具打补丁
233531l2hel2rpwhyh7yhw.png

然后修改寄存器的时候出错

                               
登录/注册后可看大图

根据上面OD的数据

1DB71A5A    8945 D0         mov dword ptr ss:[ebp-0x30],eax |这里改eax值17812所以,我把首字节填写89,就不会报错了,但是测试,不能弹出这个EAX的值,
也就是在大白工具,断点没有被拦截下来。
是不是哪一步操作不对?

我觉得最大的可能是这个地方我理解不对,无法定位地址


我的想法是先到对位置,随便能够弹出一个框,看看断点是不是正常。



点评

麻烦补一下查毒链接。  发表于 2021-11-21 18:51
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   73.33%

1300841139 发表于 2021-11-13 14:48 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

莣孒嬡沵芣蓜 发表于 2021-11-13 15:07 | 显示全部楼层


看着这个应该是天盾的界面.............
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| water201 发表于 2021-11-13 15:14 | 显示全部楼层


本帖最后由 water201 于 2021-11-13 15:25 编辑

应该是的,我也是第一次遇到这个壳,也看不到字符串,想着脱壳太难,搞个注入补丁方便一点。
以前的dll文件可以直接搜索字符串,所以我就是找到关键断点,再找到dll插件的基址就可以断下来了
下面是我以前的常规思路
Sunwy(2030988)  14:56:44
一个程序的dll使用了vmp3.X的加壳,程序启动以后,直接在模块里面选择dll文件,看不到任何字符串。
主程序的基址是:400000
插件基址=1D040000
BP CreateFileA可以断下来,回到主程序的领空,这个时候搜索,可以看到与dll插件文件的有关的字符串,但是现在是在主程序,这里的内存地址怎么填写?(以前直接dll搜索出来的断点,我填写地址和插件基址就可以了)
1DB71A5A    8945 D0         mov dword ptr ss:[ebp-0x30],eax |这里改eax值17812
1DB71A5D    8B45 D0         mov eax,dword ptr ss:[ebp-0x30]
1DB71A60    50              push eax
QQ图片20211113152023.png

但是,对这个字符串都显示再主程序的,断点也断到主程序了,不知道如何设置?


吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   40%

gongjianyu 发表于 2021-11-13 18:34 | 显示全部楼层


天盾吧 这个   
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   16.67%

xie4922232 发表于 2021-11-13 23:43 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   63.33%

蚁上火 发表于 2021-11-14 13:21 | 显示全部楼层


进来学习一下            
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   10%

天使的翅膀 发表于 2021-11-14 13:58 | 显示全部楼层


进来凑个热闹
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   0%

温九 发表于 2021-11-16 12:31 | 显示全部楼层


EXE在哪下载 发链接
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   0%

温九 发表于 2021-11-16 12:32 | 显示全部楼层


dll文件链接也没有
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编论坛(www.52hb.com)所发布的破解补丁、注册机、逆向教程、逆向文章等,包含但不限于上述内容,仅限用于学习和研究目的,不得用于非法途径或商业行为。否则,一切后果请用户自行承担。本站内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如果您喜欢某程序,请购买正版,支持正版,获得正版优质服务。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@iCloud.com
站长微信:SharkHeng


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编论坛 ( 京公网安备11011502005403号 , 京ICP备20003498号 )

GMT+8, 2022-5-21 07:09 , Processed in 0.283171 second(s), 76 queries .

Powered by Discuz!

吾爱汇编论坛 www.52hb.com

快速回复 返回顶部 返回列表