vmp2.07脱壳到达OEP
今天下载了一款软件,没想到查壳是vmp2.07,好奇尝试一下脱壳下载地址:http://www.kkx.net/soft/4350.html
1、右键选择FKVMP>>start
2、点击OD上方的L按钮,找到retn,然后记录rentn的地址
3、2、然后返回,CTRL+G快捷键对VirtualProtect函数下断点
4、按F9运行观察堆栈区,直到NewProtect=PAGE_READONLY为止(也就是F9 6次)
5、之后取消断点按ALT+M,来到这里,对代码段下内存访问断点,F9运行
到了这里
6、然后ctrl+G搜索刚刚记录下来的retn值,F2断点,F9跑一次,来到上图位置,点击右上角的M,取消内存访问断点
8、来到刚刚断点的地方,取消01284728的断点,继续点击右上角的M,对代码段下内存访问断点
7、然后F9运行,到达OEP处,用Scylla_v0.9.8脱壳转存
直接脱出来的程序打开提示错误,脱壳后的修复不会,有兴趣的大佬可否指点一二
我搞了一下vmp3.5 也是一样脱壳后修复提示oep没数据
小曾视频 那个好麻烦还有修复什么什么的
不会 我搞了一下vmp3.5 也是一样脱壳后修复提示oep没数据
小曾视频 那个好麻烦还有修复什么什么的
不会 虽然不太清楚是怎么回事,但你这不是把vmp壳当成upx壳来脱了吗 侃遍天下无二人 发表于 2023-2-8 23:32
虽然不太清楚是怎么回事,但你这不是把vmp壳当成upx壳来脱了吗
只是到了OEP,接下来不知道如何修复 侃遍天下无二人 发表于 2023-2-8 23:32
虽然不太清楚是怎么回事,但你这不是把vmp壳当成upx壳来脱了吗
当年我也是看完第一课就随便拿了一个程序,谁知道是vmp壳,搞到半路就莫名其妙的和教程不一致了{:301_998:} liyitong 发表于 2023-2-9 00:00
当年我也是看完第一课就随便拿了一个程序,谁知道是vmp壳,搞到半路就莫名其妙的和教程不一致了{:301_998 ...
不急,慢慢再研究,我想的是到OEP后,用LordPE 来Dump,Dump完以后用LordPE 打开它修改入口点、IAT等吧,慢慢来完善他,也希望有大佬给予指点,这样少走许多弯路 如果是10.x的正式版,是有特征码通杀的,这个脱壳就别想了。 提一个点, vmp是全球最强壳之一, 即便你拿2.x研究透了, 也搞不了现在3.6的. VMP壳加强学习中,感谢分享
页:
[1]
2