Unpackme (vb_for_tmd2.19)
不会写CM,唯有转载,这个例子不是我加的,在看雪有人发过(无疾而终),于是转载过来这里据分析,这个 VB IAT 修复可以说比较的轻松,三个按钮破解很容易 ,可以按原意重写
最后这个例子有 anti_dump 。 被现在论坛的CM打击得不行了,玩玩别的。
发现自己搞错了,没有 anti dump,如果补区段那是体力活,干脆拦截了那三个按钮按它的意思重写一次过程,这样不优化的情况下,体积也就是 20k 不浪费时间,先放个半成品的脱壳脚本,后面修复看大家了
(这个例子的 IAT 也是见到 TMD 最简单的一种处理,壳对 VB 真的无爱{:1_912:}
(但是三个按钮的 SDK 很强大 ,把我转晕了过去,彻底拜服 )
var api
var iat
var temp
var one
var two
var oep
var i
mov one,005EF1C0
mov two,005EE919
bphwcall
lc
bphws one,"x" // MOV ,API
bphws two,"x" // 写入了 重定位地址,此时 EAX 等于 IAT 值
bphws 005EEFB3,"x"
vv:
call run_
mov api,eax
esto
mov iat,eax
mov ,api
esto
mov temp,edi
sub temp,5
eval "jmpdword ptr[{iat}]"
asm temp,$RESULT
cmp iat,401090
je ok
jmp vv
run_:
esto
cmp eip,one
jne run_
ret
ok:
bphwcall
mov eip, 004011A3
mov ,#90#
asm 004011A3,"push 4013e8"
asm 004011a8,"call dword ptr"
ret
Tmd还真没怎么研究过..{:1_907:}
貌似现在Tmd是2.22了吧.... 2.22 我都木有见过哦 {:1_906:} 看见帖子很冷,过来膜拜一下,又被打击。。。 mycc 发表于 2012-7-25 00:46 static/image/common/back.gif
2.22 我都木有见过哦
只用过TMD2.22的正式版2次,.............{:1_906:}
好想有的正式版 {:1_937:}
页:
[1]