一个虚拟机的加密程序 求助读取配置文件时如何下断
本帖最后由 理想的海洋 于 2023-5-24 09:42 编辑某虚拟机加密程序 在程序目录有个vmware-vms.INI配置文件程序在每次运行的时候会读取这个配置文件不对程序就闪退 没有任何提示对的话会提示如下图是一个wl的壳 有以下提示就可以绕过机器码正常运行程序了
1、配置文件对的情况下 运行如下
2、配置文件随便修改一个错的运行没有反应 并且会在配置文件生成一个Unknow3=
3、用这个大佬@冥界3大法王 的x64dbg断点插件 断不下来可以确定的是这个程序运行的时候一定是读或者写ini这个配置文件 不知道为何断不下来。
4.然后下退出断点
5.断下来了 在系统领空右下角回车 到程序领空
6.常规方法是把jmp这个跳转nop掉让程序不跳到退出但是这个rva地址无法复制 不知道咋进行下一步了。
各位论坛的大神请指点一下 文件地址:https://710898798.lanzoum.com/i0u2v0x3f2uj
本帖最后由 wtujoxk 于 2023-5-24 13:59 编辑
这可以断下来
我也正在研究这个问题,如果有结果了,咱们一起商量。 wuailaoyan 发表于 2023-5-24 12:05
我也正在研究这个问题,如果有结果了,咱们一起商量。
你分析到哪一步了 wtujoxk 发表于 2023-5-24 13:57
这可以断下来
多谢指导
GetPrivateProfileStringW 这个断点很有用 问下这个程序怎么样干掉退出 试了半天都去不掉 加了壳的 理想的海洋 发表于 2023-5-24 16:49
多谢指导
GetPrivateProfileStringW 这个断点很有用 问下这个程序怎么样干掉退出 试了半天都去 ...
试试hook退出这个api,不让它执行呢? wtujoxk 发表于 2023-5-24 18:09
试试hook退出这个api,不让它执行呢?
用哪个补丁工具可以hook退出这个api
页:
[1]