VPM 脱壳方法与脚本(1)
工作需要要脱一个VMP壳,我是一个从来没接触过脱壳的人。瞬间那种心情遇到的人应该都知道!没办法硬着头皮找教程,尝试脱壳下面是我的脱壳过程希望大牛多多指正!1、准备工具,FEID(查壳工具)、DIE(查壳工具)、LordPE(dump工具)、ImpRec(IAT修复工具)、UIF(IAT修复工具)、CFF(文件优化工具)、OD(吾爱破解专版 调试工具)
2、查壳 PEID
https://attach.52pojie.cn/forum/201602/19/234741mhlihej4mbehffmh.png
区段显示是vmp1,看来是VMP壳编写语言还是不能确定上DIE
https://attach.52pojie.cn/forum/201602/19/235134vtc11b16ko1c47mv.png
显示编程语言是VC++的,VMP壳
3、开OD准备脱壳、OD设置如下
https://attach.52pojie.cn/forum/201602/19/235414jbjqc1lk00j1koqc.png https://attach.52pojie.cn/forum/201602/19/235419hwjxyp4lylpx2jas.pnghttps://attach.52pojie.cn/forum/201602/19/235423g9wnn5e9fxy9n4nn.png
打开进程到入口看下
https://attach.52pojie.cn/forum/201602/20/050353a71omm1q7111pq8u.png
4、跑OEP
啥也卡不懂,不过没关系知道是VMP壳就好办,直接CTRL+G输入 VirtualProtect 下断 如下图(如果提示未知,先在内存窗口找到 kernel32.dll代码段 进去后在转到就到了)
https://attach.52pojie.cn/forum/201602/20/050405sbyw6peybe00azie.png
F9跑起来,这是会段下
https://attach.52pojie.cn/forum/201602/20/050414duzaaom6rklz3ro5.png
注意NewProtect 这项 等于 PAGE_READONLY 是停下,否则一直F9 按慢点别跑飞了
https://attach.52pojie.cn/forum/201602/20/050421mz6rrreyjvyee6rg.png
到0401000处看看,代码是否已经解码
https://attach.52pojie.cn/forum/201602/20/050432ud1ddd5q111xju81.png
已经解码, 搜索特征码 EB0B85F375078BC6C1E0100BF0
https://attach.52pojie.cn/forum/201602/20/001134x6q05ghgcd1238gp.png
这是OEP第一个CALL的尾部,根据他找到OEP
https://attach.52pojie.cn/forum/201602/20/001442hfjj6lyf6egjzmy8.png
OEP 就是 00a6f7c8,不过这才是第一步 这时候DUMP 是没用的 因为VMP加密了IAT 我们需要还原他
页:
[1]