人肉某CM-VMP2.13.8 Vmcode (可视化)
本帖最后由 Sound 于 2016-3-13 14:37 编辑本帖不阐述这个版本的脱壳 资料多。
Patch CRC 也不阐述, 资料多。
其他也什么都不讲 资料多。样本
就一个子程序的代码。也分析了2个多小时。
作者说是 VMP2.13.8的, 开始借助插件,发现竟然只能识别外壳的VM CODE
于是就直接定位验证子程序,其次人肉分析
有Anti vmware .
anti anti vmware 直接VM retn处
006B0F1A ED IN EAX,DX
006B0F1B 9C PUSHFD
006B0F1C 9C PUSHFD
006B0F1D 60 PUSHAD
006B0F1E 9C PUSHFD
步过 in eax,dx 后 DX 与 BX 清零.
跑起来后 解码代码区段 解码 可以看到。
00401000 33C0 XOR EAX,EAX
00401002 C3 RETN
00401003 90 NOP
00401004 - E9 31121B00 JMP 005B223A vm事件入口。
00401009 CC INT3
0040100A CC INT3
既然V了 就搜VM事件入口的特征码
调试后发现派发事件
0041012D 8B4424 34 MOV EAX,DWORD PTR SS:
00410131 8BCE MOV ECX,ESI
00410133 50 PUSH EAX
00410134 E8 C7A60000 CALL 0041A800 这里
0041A7FD CC INT3
0041A7FE CC INT3
0041A7FF CC INT3
0041A800- E9 17D71100 JMP 00537F1C 被V的派发事件。
0041A805 CC INT3
0041A806 CC INT3
0041A807 CC INT3
0041A808 CC INT3
断点 输入假码 Sound
断下 0041A800
运行后 出现验证失败,提示,直接回调栈帧
0053FBF2 66:19C0 SBB AX,AX
0053FBF5 8B4424 0C MOV EAX,DWORD PTR SS:
0053FBF9^ E9 1048FEFF JMP 0052440E
注意堆栈 5个参数
0012F664 0012F670
0012F668 00000004
0012F66C 0012F684
0012F670 00000002
0012F674 00000000
0012F678 00000000
0012F67C 0053CD30RETURN to UnpackMe.0053CD30 from UnpackMe.00401AF1
0012F680 00000004
0012F684 001B1500ASCII "验证失败!"
0012F688 00000000
0012F68C 80000004 ..
0012F690 00000000 ..
0012F694 00000000 ..
0012F698 80000301 ..
0012F69C 00000000
**** Hidden Message ***** 就一个子程序的代码。也分析了2个多小时。
作者说是 VMP2.13.8的, 开始借助插件,发现竟然只能识别外壳的VM CODE
于是就直接定位验证子程序,其次人肉分析 1111111111111111111111111111 这个东西怎么用···学习下··{:301_997:} 这是怎么个意思?
参与人数 1 吾爱币 -1 收起理由
hft好粥道 -1 请勿灌水,提高回帖质量是每位会员应尽的义.
我没有刻意灌水啊,难道您不知道前一句和后一句是两个概念,还是您不懂得怎么去界定???????????????? 感谢分享不错 抢个首位慢慢看。 空间看看。。。。 又看到你了。。必须过来学习 感谢楼主分享资源 sound大神! 支持了!感谢