CrackMe 1x
你要做的是把“祖国你好”修改成其他的
下载文件后发现是易语言写的,拖入die.exe 发现是upx4.0.2壳
果断下载upx4.0.2 输入命令 upx –d CrackMe.exe
得到一个原来400k现在800k的脱壳文件 再次拖入die发现壳消失,然后拖入x32dbg查找 字符串
字符串地址在00488B88
然后拖入IDA 查找00488B88找到
修改0D7为0D6.发现祖国变成了宙国 保存
运行新保存的exe,提示非法修改。 在x32dbg找到字符串 文件已经被非法修改 的地址00488B9e 在IDA内搜索这个地址发现有三处引用了这个地址
第三个引用就无需修改了
修改完之后 ok.另存为新的exe 搞定
这个cm并不难,只是演示下ida和x64dbg的配合使用,当然也可以手动oep手动脱壳在x64dbg 快捷键G图形化就可以看到解壳入口了。 寻找被非法检测的三个点也可以通过x64dbg的单步跟踪,找到逐个调用然后在ida修改判断跳转
直接改的,不过后面还有个二次验证,就不管了 想问问大家都是怎么脱那个vmp壳的{:301_990:} 本帖最后由 xiaorun 于 2023-8-1 13:06 编辑
大家都好厉害,我也试一试这个壳怎么脱 C191239 发表于 2023-8-1 12:10
想问问大家都是怎么脱那个vmp壳的
不是VMProtect是UPX
https://down.52pojie.cn/Tools/Unpackers/UPX%20Unpacker.zip 虽然看不懂,但是学习拉 脱upx,hex修改字符串,od patch掉3处检.测.
变形UPX壳,有3处文件大小校验。