[奖励100CB]UnPackMes VMProtect 2.13 Stolen OEP
本帖最后由 Shock 于 2015-1-8 23:13 编辑UnPackMes VMProtect 2.13 Stolen OEP 2015 第 一弹
来吾爱都快一年了,不知不觉2015了,在这辞旧迎新的一年里我给大家带来了2015第一个 UnPackMes VMProtect 2.13 Stolen OEP{:301_987:}
都说吾爱大牛多,在这一年里多多少少也看了不少大牛的作品针对性的脱壳以及OEP修复还原,但是好多都说很粗略的一笔带过,只说了你一句你懂的然后啥也没有了。
目前我知道的有Visual C++程序的VMP脱壳还原OEP以及跨平台还有delphi的脱壳还原OEP以及修复IAT,小菜菜我今天给各位带来我自己做的一枚UnPackMes VMProtect 2.13 Stolen OEP
不知道哪位大侠能顺利的脱壳还原OEP以及跨平台呢!
欢迎讨论 愿意奉献我的100CB作为大家的新年礼物{:301_986:}
UnPackMes VMProtect 2.13 Stolen OEP
简介:
编译工具:Microsoft Visual Basic 5.0 / 6.0
加密工具:VMProtect 2.13
加密大小:608KB
加密选项截图:
除了加密导入表以外还V掉了OEP的两行代码
{:1_906:}目测能跨平台
幸好是个VB软柿子 只有个IAT保护
VB OEP就2句代码 所以随便找个VB程序对照一下就补回来了
说说IAT的修复方法吧
寻找跳向VMP0区段的call
然后eip 到call
然后记录当前的esp 和
然后一路F7 直到到达API
然后记录当前的esp和
留意一下进call前和到达API的esp和 就能识别 FF15 FF25之类的类型了
如果一路F7回到call的下一行地址 那就是 mov r32,之类的语句了
幸好VMP没有Shadow dll{:1_906:}
顶楼主。 LZ的CB咋这么少呢,我比你注册的都晚 支持支持支持支持支持 支持支持{:301_1000:} 我的CB好少啊! 楼主威武啧啧啧啧 为毛我那么穷 难道真的被我猜中了 没人能搞定啊 看来大妞们都不愿意出手啊 太让我失望了{:301_1005:} 小凯哥丶 发表于 2015-1-9 00:13
我的CB好少啊!
{:17_1062:}层主的签名中已经包含脱了的。。。
页:
[1]
2