一个无聊自写的小CM

没有采用VMP或者WL这些的企业VM，只用了一个简单的自写变异，没有任何写法只有一个如果真（编辑框1.内容≠“xxx”）就结束软件，没有任何汇编崩溃用的是易语言自带的结束（），load用的是难寻开源的，手动处理了一下所以打开会慢个2到3秒，请各位试试DUMP或者脱壳掉能正常运行，也不是啥单子，也没有什么正确秘钥才解壳之类，只有最简单的新手，当然可以试试还原代码，各位五一无聊可以看看 下载地址：https://wwhs.lanzouo.com/itUiZ0u8dsch

已秒杀！！

hkh314306 发表于 2023-5-2 21:31
已秒杀！！

大佬，已经可以脱壳或者dump了正常运行了么，是怎么干掉的能说下过程么我继续完善

xiazai 看看

内存加载的PE用到了VMP的虚拟化

下载看看

by:冷眸 发表于 2023-5-6 02:13
内存加载的PE用到了VMP的虚拟化

那个load加载的DLL 开始是测试导入表加密以后加VMP看慢不慢了 忘记改了，那DLL直接都可以提取出来，不需要处理那个dll，因为没有调用DLL里面啥功能就一个取结构体，因为是CM所以代码加密，导入表加密那些全没开

我掐指一算，CM的密码是154131841啊

分析完了扭头一看已经是23年的帖子了...
分享一下爆破思路，通过输入口令点击按钮弹出信息框显示假，然后根据获取到的线索开始分析，首先查找“真”“假”的字符串，找到了41A090函数，然后分析函数中的代码：
0x41A090:  mov  eax, [esp+arg_0]     ; 加载布尔参数
0x41A094:  push esi
0x41A095:  push edi
0x41A096:  mov  edi, offset 假        ; 默认指向"假" (0x497730)
0x41A09B:  test eax, eax             ; 判断布尔值
0x41A09D:  jz   short loc_41A0A4     ※关键跳转     假→保持"假"，真→跳到下一行
0x41A09F:  mov  edi, offset 真        ; 指向"真" (0x49772C)

然后就把0x41A09D跳转nop掉就可以一直显示信息框真了。

至于口令只找到了MD5的值 懒得推口令了 - -！ 同理顺着线索往上捋~