好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 amonsonic 于 2022-4-11 08:54 编辑
VMP3的壳
007B57D6 /78 54 js short .007B582C
007B57D8 |6d ins dword ptr es:[edi],dx
007B57D9 |1AF8 sbb bh,al
007B57DB |A8 80 test al,0x80
007B57DD |BC A7632414 mov esp,0x142463A7
007B57E2 |89EA mov edx,ebp
007B57E4 |A9 7437EDE6 test eax,0xE6ED3774
007B57E9 |6255 0F bound edx,qword ptr ss:[ebp+0xF]
007B57EC |c8 e953 74 enter 0x53e9,0x74
007B57F0 |16 push ss
007B57F1 |00FF add bh,bh
007B57F3 |15 28B65200 adc eax,<&USER32.MessageBoxA>
xxxxx
f12暂停法后断在下一巨xxxx上
问题如下:
1.程序无法od直接运行
2.od附加后会失去响应
3.必须在输入框中输入假注册码, 这个时候附加程序才不会卡死 (原理未知)
4.msgbox返回程序领空, 上面的代码段(被VM的乱码)中是无法下断的, od会提示在代码段以外下段会有xxx问题等等提示.
我下cc断点后, f9 程序直接崩溃
甚至是硬件执行断到adc ecx, MessageBoxA 上, 也不会被断下!!
意味着无法下断
5.我把程序回溯向上翻, 在可以下断的地方下断又段不下来, jmp jz jgl 都不会被断下
6.程序是易语言程序, 窗口标题为WTWindow, 但是是去伐找到特征码跳转表来push窗体, ff25找到个个毛线, 没有跳转表 , 甚至搜索push 1001都被vm掉了
我甚至怀疑这不是易语言写的程序了, 因为搜索到的字符串中没有明显的易语言特征码, 其实连注册失败等的提示也没有, 都别vm掉和加密掉了 (部分字符串是hex)
7.珈蓝夜雨为什么在这个地方爆破, 原理是什么
@珈蓝夜雨
还有珈蓝夜雨的很多课程, 都缺少课件, 谁有备份可以发给一下谢了
8.我要怎么办?
总不能撞豆腐死了suanle
9.
易语言 + VMP3
要去掉登陆验证窗体
(经测试无法push窗体, 代码被VM掉了)
bp recv下端后, 返回地址也被vm乱码了 , 一大堆跳转
程序下载:
链接:https://pan.baidu.com/s/1EVinurpZnHJgW-Qv_UOJXg
提取码:mln5
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2022-4-10 16:41
|
发表于 2022-4-10 22:59
