Safengine NetLicensor v2.2.6.0 Unpack
本帖最后由 L4Nce 于 2014-3-6 17:00 编辑这个文件来自52的cm区。nooby前辈在某一天发在那边的
http://www.52pojie.cn/thread-235837-2-2.html
从被SN替换的call进去以后全部的代码都被vm了。
当时看了看就扔在文件夹里面。
前几天去tuts发现LCF-AT把这个文件脱了。
(LCF-AT因为一个朋友的关系一直没放se系列的脚本)
然后感觉这个东西还是有机会脱的嘛,最起有人完成了。
然后用od调了调。发现nooby前辈还是手下留情了了没有使用api hash 然后根据hash查表的那种形式。
关键的key point也被我找到了。(api产生的位置)
然后区分iat的类型部分困扰了我。
我就给上自己的分析问了下LCF-AT。他告诉了我一些思路。
看了他的描述,发现那个思路我尝试过,不过崩溃了。后来发现他注明了一点。必须清0写入。我就明白了我一直漏掉了个细节。
于是我在他的思路基础上再改进行了一些,不用去分析一些opcode了。
想了想我为啥能坚持着去脱这个文件,最后发现原因就是没女朋友是个屌丝嘛,所以没得玩,脱这个就当是玩游戏了。
细节很重要吧。
具体看附件吧有脚本动画,脱壳前的,脱壳后的,文件。(脚本各种丑陋,各种硬编码,只适合这个文件{:301_991:})
感觉这个脚本只有判断iat类型部分还有点意义。{:301_1010:}
by L4Nce
greetz
brack 发表于 2014-3-6 16:33
你为什么这么屌
B牛还原VM给Lance看看撒 前排膜拜大牛!看样子SE快和VMP一样了{:1_918:} 膜拜lance师傅支持 你为什么这么屌 膜拜啊,
完全搞不懂这发生了什么事。 我来膜拜学习 膜拜。。。不是一般人能玩的起的。 膜拜神牛,顺便看看。