吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 1382|回复: 14

一个DLL文件无法调试,大神们来支支招

[复制链接]
hou 发表于 2022-1-2 18:36 | 显示全部楼层 |阅读模式

本站严厉禁止求脱求破行为(包含无自我分析直接求思路),如发现此类求助主题请点击“举报”,让我们共同维护优质的学习环境!


50HB
本帖最后由 hou 于 2022-1-2 18:38 编辑

查壳显示是2.07++的低版本VMP壳
QQ截图20220102175428.png
拉进OD里查看,程序入口指令为
pushfd
push esi
pushad
这里与平时的VMP有区别,VMP壳正常为push xxxxxxxx , call xxxxxxxx
QQ截图20220102175511.png
去看一下Section名称是.vmp0,.tls,vmp1
这里与VMP也有区别,VMP通常是vmp0,vmp1相连的
QQ截图20220102175527.png
直接运行后,代码区域仍未解密,判定是壳报出来的反调试
提示内容与VMP的反调试文本内容相同
QQ截图20220102180827.png
运行后也没有办法附加,估计是改了PE文件字节
51.jpg
QQ截图20220102175654.png

尝试用过TitanHide ScyllaHide等工具都没办法过掉这个壳的反调试 ,
自己利用vmp3.5.1加密测试demo,勾选反调试器,都是能正常过掉VMP的反调试,
却对这个版本的VMP没办法,或者说这个根本不是VMP吗

样本地址: https://wwi.lanzoul.com/irWi0ya088f






最佳答案

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Eric 发表于 2022-1-2 18:36 | 显示全部楼层

最佳答案本应属于楼主私有,因此限制查看

您还有0次查看次数,点此查看答案

点此购买查看次数
也可以兑换VIP特权或加入解密专家,每日可免费查看5次最佳答案!

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Eric 发表于 2022-1-2 20:05 | 显示全部楼层

你这是注入到了系统进程,当然不能调试了...

把DLL通过自己的空壳来调用再附加
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| hou 发表于 2022-1-2 23:02 | 显示全部楼层

Icpower 发表于 2022-1-2 20:05
你这是注入到了系统进程,当然不能调试了...

把DLL通过自己的空壳来调用再附加 ...

这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容,OD就无法识别

点评

Eric”点评说:
[attachimg]138656[/attachimg] 首先注入DLL和调用DLL是一个意思,只是一个"启动器"或"宿主". 我不知道你杠什么, 给你说了自己用空壳调用函数即可.  详情 回复 发表于 2022-1-3 05:33
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
狐白小刺客 发表于 2022-1-2 23:40 | 显示全部楼层

hou 发表于 2022-1-2 23:02
这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容, ...

OD会判断进程是否x64,regsvr32是系统进程也是64位,所以OD不能附加
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| hou 发表于 2022-1-3 02:42 | 显示全部楼层

狐白小刺客 发表于 2022-1-2 23:40
OD会判断进程是否x64,regsvr32是系统进程也是64位,所以OD不能附加

这说法貌似不对,如果dll是32位程序,系统也会相对利用32位的C:\Windows\SysWOW64\regsvr32.exe来加载
我特地写了个空白32位程序来做测试,利用regsvr32来调用是可以成功附加调试的 QQ截图20220103023928.png
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Eric 发表于 2022-1-3 05:33 | 显示全部楼层

hou 发表于 2022-1-2 23:02
这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容, ...

QQ截图20220103053043.jpg

首先注入DLL和调用DLL是一个意思,只是一个"启动器"或"宿主". 我不知道你杠什么, 给你说了自己用空壳调用函数即可.
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
狐白小刺客 发表于 2022-1-3 10:01 | 显示全部楼层

那样的话可以看看PE头有没有被清空,或者尝试x32dbg,ollydbg的话会判断很多东西,导致附加因素多
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
2509220471 发表于 2022-1-3 14:09 | 显示全部楼层

怎么那么像传奇4无双多开的写法
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
温九 发表于 2022-1-3 21:28 | 显示全部楼层

2509220471 发表于 2022-1-3 14:09
怎么那么像传奇4无双多开的写法

雀食 看着像啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表