脱某未知压缩壳

wind4 · 发表于 2009-2-1 20:36

先下载
http://dl.sf520.com/login.exe

使用PEID 0.94查壳

什么都没找到  *

OD载入，程序停在

00B4B480 >  68 FD516E3E    push 3E6E51FD

使用“内存镜像法”

Alt+M,

找到 Memory map, 条目 30
地址=00558000
大小=00316000 (3235840.)
属主=login 00400000
区段=.rsrc
包含=资源
类型=Imag 01001002
访问=R
初始访问=RWE

F2 断点，Shift+F9

00B48100 AA             stos byte ptr es:[edi] ;停在此处
00B48101 E8 9D5A2400    call login.00D8DBA3
00B48106 14 9E          adc al,9E

再次Alt+M

Memory map, 条目 23
地址=00401000
大小=0012D000 (1232896.)
属主=login 00400000
区段=CODE
包含=代码
类型=Imag 01001002
访问=R
初始访问=RWE

F2 断点再Shift+F9
程序停在

0052D4CC    55          db 55          ;  CHAR 'U'
0052D4CD    8B          db 8B
0052D4CE    EC          db EC

右键分析 --- 分析代码(Ctrl+A)

出现

0052D4CC .  55          push ebp
0052D4CD .  8BEC       mov ebp,esp
0052D4CF .  83C4 EC    add esp,-14
0052D4D2 .  53          push ebx

此处应该是程序OEP 12D4CC

DUMP保存为Unpack.exe

PEID查壳

Borland Delphi 6.0 - 7.0 [Overlay]

但是无法运行！

换一种方法用LOADPE 先修正镜像大小 ---- 完整转存 ---- 保存为“Unpack1.exe”

运行正常！不过PEID查壳显示为

什么都没找到  *

但是的确是已经脱壳了的！

事后，我还打算使用ImportREC修复一下。在OEP输入12D4CC ，点“自动查找IAT”
找到为

OEP：0012D4CC
RVA：0013A018
SIZE：00000004

可是点“获取输入表”。并没有函数！

请教以下高手，这个是那里出了问题？

hyperchem · 发表于 2009-2-3 20:45

是VMP，输入表在虚拟机里面……

XuZhenG · 发表于 2009-2-3 17:54

貌似 VMP和压缩壳不是一回事...

wind4 · 发表于 2009-2-1 21:06

我的PEID是在PEDIY下的。。。
你的PEID查的广！郁闷。
不过也好学了2天终于脱成功了.

那么问一下！我后面“获取输入表”为什么会显示没有呢？
我好象是按教程的步骤的啊！？

wgz001 · 发表于 2009-2-1 21:00

楼主这个应该属于讨论吧 VMP

小生我怕怕 · 发表于 2009-2-1 20:49

VMP鉴定完毕!

gayu · 发表于 2009-2-3 21:27

我NOD32 报毒 :Q :Q

yusy · 发表于 2009-3-9 03:57

厉害 VM 都可以脱，学习学习

CHHSun · 发表于 2009-3-9 07:05

VMP是个新事物，最好把脱壳过程详细的记录下来，大家分享。

e.skyendy · 发表于 2010-10-26 17:17

VMP壳，学习。。。。。

帐号		自动登录	找回密码
密码			注册[Register]

[分享] 脱某未知压缩壳