无壳内部VM的E盾释放主程式提取教程

运行环境：
Win7 x64；
涉及工具：
OD 1.10；
教程类型：
提取；
视频是否带有论坛水印：
记事本课件有论坛标识；
是否讲解思路和原理：
否
是否为悬赏杀手：
是 ；
易语言拖进OD运行就自动退出，无法处理，求大哥
https://www.52hb.com/thread-57510-1-1.html
(出处: 吾爱汇编论坛)


以下为图文内容：

                                无壳内部VM的E盾释放主程式提取
                                      boot 吾爱汇编论坛
                                         2022.11.21

===================
OD准备：运行程序后，附加，恢复所有线程。

注意：此软件针对检测OD。
如果是用x32Dbg，直接启动即可，无需附加。软件不会退出。
如果是用OD，则需要附加并恢复所有线程。如果OD直接启动，则软件退出。

此处的重点不是解决程序退出，而是提取主程式。

我习惯使用OD 1.10，所以此部教程以OD 1.10演示。

API的准备：提前预备DeleteFileA 、DeleteFileW
因为程序登录后会以极快的速度自删除被释放样本，人工的手动操作根本无法及时保存。

正版登录卡号准备：ZS451729106D901729D2644342FBD47A

看文件缩写ezd.key，易之盾。我们暂且称之为E盾吧。

之前简单看了一下，程序的按钮事件被VM了，我们借助E-Debug 3.1插件找到程式的许可地址。


===================
1、登录
mov eax,1
leave
retn


===================
2、时间
mov eax,<Patch_Address>
leave
retn

00703C79    3131            xor     dword ptr [ecx], esi             ; Patch_Address



===================
3、第三修改处
leave
retn

准备释放文件了
程序准备删除，由于我们准备了删除断点拦截，所以可以看到，程序是隐藏的。已经释放完毕。
压缩器拷贝转储。

===================
写在最后，这里展示一种简单的解除文件隐藏属性的方法。
文件夹显示设置，按照我这样。
OD载入被隐藏的程序，任意选中一行，无需任何修改，直接保存。
即可得到被解除隐藏属性的副本。

另外查壳区段，出现修补区段.SCY，这个貌似是被人脱壳后二次加了验证。
===================
在这个教程结束后，我会把提取好的样本和该程序运行所需的全部文件打包上传。
坛友下载后尽快转存，我的教程失效后，一般不再受理补链的请求......

（完）

===================
补充：
刚刚排查了一下，提取的文件可用。原来是放在正确的路径即可！





教程链接：

游客，如果您要查看本帖隐藏内容请回复

感谢分享

又来学习了

感谢你的分享

爆破专家啊 赶紧收藏了

非常感谢分享

感谢大佬分享，学习

感谢大哥

学习看呢

楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！