吾爱汇编论坛

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 664|回复: 14

一个DLL文件无法调试,大神们来支支招

[复制链接]

  离线 

升级   50%

hou 发表于 2022-1-2 18:36 | 显示全部楼层 |阅读模式


50HB
本帖最后由 hou 于 2022-1-2 18:38 编辑

查壳显示是2.07++的低版本VMP壳
QQ截图20220102175428.png
拉进OD里查看,程序入口指令为
pushfd
push esi
pushad
这里与平时的VMP有区别,VMP壳正常为push xxxxxxxx , call xxxxxxxx
QQ截图20220102175511.png
去看一下Section名称是.vmp0,.tls,vmp1
这里与VMP也有区别,VMP通常是vmp0,vmp1相连的
QQ截图20220102175527.png
直接运行后,代码区域仍未解密,判定是壳报出来的反调试
提示内容与VMP的反调试文本内容相同
QQ截图20220102180827.png
运行后也没有办法附加,估计是改了PE文件字节
51.jpg
QQ截图20220102175654.png

尝试用过TitanHide ScyllaHide等工具都没办法过掉这个壳的反调试 ,
自己利用vmp3.5.1加密测试demo,勾选反调试器,都是能正常过掉VMP的反调试,
却对这个版本的VMP没办法,或者说这个根本不是VMP吗

样本地址: https://wwi.lanzoul.com/irWi0ya088f






吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  在线 

Icpower 发表于 2022-1-2 18:36 | 显示全部楼层


最佳答案本应属于楼主私有,因此限制查看

您还有0次查看次数,点此查看答案

点此购买查看次数
也可以兑换VIP特权或加入解密专家,每日可免费查看5次最佳答案!

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  在线 

Icpower 发表于 2022-1-2 20:05 | 显示全部楼层


你这是注入到了系统进程,当然不能调试了...

把DLL通过自己的空壳来调用再附加
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| hou 发表于 2022-1-2 23:02 | 显示全部楼层


Icpower 发表于 2022-1-2 20:05
你这是注入到了系统进程,当然不能调试了...

把DLL通过自己的空壳来调用再附加 ...

这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容,OD就无法识别

点评

[attachimg]138656[/attachimg] 首先注入DLL和调用DLL是一个意思,只是一个"启动器"或"宿主". 我不知道你杠什么, 给你说了自己用空壳调用函数即可.  详情 回复 发表于 2022-1-3 05:33
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   91.98%

狐白小刺客 发表于 2022-1-2 23:40 | 显示全部楼层


hou 发表于 2022-1-2 23:02
这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容, ...

OD会判断进程是否x64,regsvr32是系统进程也是64位,所以OD不能附加
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   50%

 楼主| hou 发表于 2022-1-3 02:42 | 显示全部楼层


狐白小刺客 发表于 2022-1-2 23:40
OD会判断进程是否x64,regsvr32是系统进程也是64位,所以OD不能附加

这说法貌似不对,如果dll是32位程序,系统也会相对利用32位的C:\Windows\SysWOW64\regsvr32.exe来加载
我特地写了个空白32位程序来做测试,利用regsvr32来调用是可以成功附加调试的 QQ截图20220103023928.png
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  在线 

Icpower 发表于 2022-1-3 05:33 | 显示全部楼层


hou 发表于 2022-1-2 23:02
这并不是注入到系统进程,这只是单纯利用regsvr32调用dll,无法附加是他利用了驱动或者是修改了PEB内容, ...

QQ截图20220103053043.jpg

首先注入DLL和调用DLL是一个意思,只是一个"启动器"或"宿主". 我不知道你杠什么, 给你说了自己用空壳调用函数即可.
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   91.98%

狐白小刺客 发表于 2022-1-3 10:01 | 显示全部楼层


那样的话可以看看PE头有没有被清空,或者尝试x32dbg,ollydbg的话会判断很多东西,导致附加因素多
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   37.5%

2509220471 发表于 2022-1-3 14:09 | 显示全部楼层


怎么那么像传奇4无双多开的写法
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   2.5%

温九 发表于 2022-1-3 21:28 | 显示全部楼层


2509220471 发表于 2022-1-3 14:09
怎么那么像传奇4无双多开的写法

雀食 看着像啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编论坛(www.52hb.com)所发布的破解补丁、注册机、逆向教程、逆向文章等,包含但不限于上述内容,仅限用于学习和研究目的,不得用于非法途径或商业行为。否则,一切后果请用户自行承担。本站内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如果您喜欢某程序,请购买正版,支持正版,获得正版优质服务。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@iCloud.com
站长微信:SharkHeng


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编论坛 ( 京公网安备11011502005403号 , 京ICP备20003498号 )

GMT+8, 2022-5-23 18:47 , Processed in 0.270769 second(s), 72 queries .

Powered by Discuz!

吾爱汇编论坛 www.52hb.com

快速回复 返回顶部 返回列表