VMProtect封装文件提取 提取vmp3.x封装的内存文件 加密壳封装文件提取支持3.6版本
本帖最后由 hszt 于 2022-9-13 09:04 编辑方法,利用CopyFileA让vmp壳本身自己把文件吐出来
自己写个dll注入到程序里面,如果比较懒,可以直接在od里面写代码,一样的,看到这个应该都懂了吧
测试支持最新版3.5
看了一下,vmp会hook很多api,突然想到,如果软件本身要执行文件创建或者拷贝操作呢
所以自己写了个dll,知道封装的内存文件名字后,调用CopyFileA就顺利复制出来了
关于文件名,一般都是封装dll,那自然会加载,加载后od可以看到,或者LoadLibraryExW这些,可以看到加载的时候dll文件名
如果是其他不知道名字的,我就不会了,但是测试过txt,知道文件名也可以利用这个方法
这个方法理论上对其他封装的都有效果,就是要知道文件名,测试The Enigma Protector也可以
我用的是win7 64虚拟机,xp系统测试没成功,vmp 2.x好像不支持
最后给懒人们传个dll,自己修改里面的路径就行了
本帖最后由 hszt 于 2020-10-14 17:53 编辑
wtujoxk 发表于 2020-10-14 17:45
怎么使用,还是有点懵!
比如c:\123\test.vmp.exe里面有个dll文件是Code.dll
先用OD改我发的dll里面的路径 c:\123\ Code.dll保存
然后od加载test.vmp.exe运行,解码后暂停,然后用strongOD的注入dll功能加载我的dll,运行,就自动复制到C盘了
相信不久的将来会有人分析得到文件列表的方法,甚至写工具或者插件提取:lol 方法挺好,学习了。 来个测试样本? 朱朱你堕落了 发表于 2020-10-14 17:33
来个测试样本?
{:1_905:}随便找个程序用vmp加壳,添加文件就行了 怎么使用,还是有点懵!
方法挺好,学习了。~ 你太🐂了! 上面数字是牛的图片,不能显示出来。 你太牛了,赞了