一键易游验证爆破的重新分析 并清理蠕虫病毒
本帖最后由 天下 于 2020-10-19 23:50 编辑原帖地址:https://www.52pojie.cn/thread-1284945-1-1.html
对于一些不会破网络验证的,学习估计要困难点。
以后遇到其它外面加验证壳的程序不知如何处理。
我这个就针对新手来一下子吧。
我就来个差不多可以通用的。无需要破网络验证的。
原程序:VMP壳,加个蠕虫病毒感染。
蠕虫直接上火绒查就完了。会恢复原文件。
把恢复好的拖到虚拟机。直接运行。
经典的易游验证-
上LordPe
直接脱,管他娘的。
转出来的肯定不能运行,我们也不需要他能运行,只是需要VMP运行后恢复的代码数据而已。
上ExeInfoPe
选择这个菜单,查找PE文件。
扫描到两个文件出来。并释放在了同目录中。
这会儿可以说是破解成功了,但是有蠕虫病毒,只能算是半成功。下面开始清毒。
一个EXE和一个DLL。DLL一看就是皮肤文件,先不管他原文件名是啥。只要能运行主程序就好。
但是这会儿是不敢运行的。因为有蠕虫病毒。看EXE文件的描述就清楚。
老规矩,肯定火绒先干他。
但是这次火绒直接把病毒隔离了,并没有恢复文件。
那就手动处理一下病毒吧。
查壳
UPX壳,脱了再查
很经典的蠕虫病毒形式。加一个病毒区段,并把程序入口改到病毒入口。
那我们就恢复OEP,再删除区段就可以说算是成功了。
为了避免感染(虽然是虚拟机,但是为了预防大家实机操作),OD载入,特征码的方式查入口。因为事先知道这个是易语言开发的了。
这入口一看就不对,CTRL+G转401000-右键-查找-所有模块间的调用-找GetVersion 这是易语言入口调用的第一个API
找到四个,那么一个一个看,看哪个更像一点
很好,第一个就是了。记下OEP地址004A4719 (修复时要去掉文件基址400000也就是记下A4719就好)
关掉OD,LordPE修复入口。然后再删除最后一个text区段完事
虽然现在火绒还报毒,但是就是其它病毒了。在我的虚拟机里再没有EXE被感染了。
经过我的实验,他是EXE附加数据里面的东西报毒。我删除掉附加数据后不报。这些就暂且不管了。没蠕虫就好。
虽然有点啰嗦,但是整体操作下来也不需要几分钟。仅供新手学习,高手请留情。哈哈。加上视频教程
巧妙的运用了工具,很不错,支持了。 本帖最后由 天下 于 2020-11-5 22:51 编辑
msk123 发表于 2020-11-5 16:08
https://www.lanzoux.com/b01bsamkd 文件上传不了 蓝奏可以不
载入程序后,把这里改成这样,然后就随便调试吧 楼主这个是??? 学习了,谢谢楼主分享 老练的手法,学习了 学不来学不来 膜拜大佬 感谢楼主,学习了
感谢分享,收藏备用!
谢谢楼主分享