吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5582|回复: 27
收起左侧

[原创] Baymax64 过 VMP 加壳保护的程序

  [复制链接]
Nisy 发表于 2023-9-28 16:06
本帖最后由 Nisy 于 2023-9-28 16:52 编辑

有很多人在咨询工具的使用方案,这里通过我写的一个 CrackMe 来演示几种异常补丁方案的使用。

源码中的判断函数:
DWORD __stdcall NsCheckInputThread( LPVOID lpThreadParameter )
{
        HWND hWnd = (HWND)lpThreadParameter;
        CHAR szBuffer[MAX_PATH] = {0};
        int nStrLen = GetDlgItemTextA( hWnd, IDC_EDIT, szBuffer, MAX_PATH );
        if ( nStrLen ){
                unsigned char szSrc[0x10];
                unsigned char szDest[0x10];
                CalcMD5( (unsigned char*)szBuffer, nStrLen, szSrc );

                *(PDWORD)((PDWORD)szDest + 0) = 0x7de2f924;
                *(PDWORD)((PDWORD)szDest + 1) = 0x058698b1;
                *(PDWORD)((PDWORD)szDest + 2) = 0xe2c6cdc6;
                *(PDWORD)((PDWORD)szDest + 3) = 0x02a1bd7b;

                if( memcmp( szSrc, szDest, 0x10 ) == 0 ){
                        MessageBox( hWnd, L"Success!",L"Info", 0);
                        return 1;
                }
        }
        MessageBox( hWnd, L"Error!",L"Info", 0);
        return 0;
}
我们编译源码后,对x64产物 使用 VMP3.8 加壳保护,比较函数未调用 VMP 保护,调试器载入,搜索字符串来到比较关键点:

400.png

用 Baymax 对付加壳的程序,第一步要先找到壳的解码时机,通俗来说,就是要通过 HOOK API 等方式等待被补丁的地址数据解码,如果使用 HOOK API 方案,可以调用壳自身使用的API,或者在执行到模块被补丁地址前调用过的API均可。由于这个 CrackMe 获取窗口输入文本调用的 API 为 GetWindowTextA,所以我们就直接 HOOK 这个 API了,这样加任何壳补丁方案都可以通杀了。

001.png

由于代码中调用了VMP 壳内存校验的函数,所以不要直接 Patch 汇编指令,而要使用异常机制来绕过内存校验实现补丁。

方案一、修改标志寄存器实现比较结果为真

特征码1:85 C0 75 23 45 33 C9 ,偏移为 2

注意:我们在使用特征码搜索地址时,一定要确保其唯一性,比如可使用插件来查找结果

401.png

设置 ZF 标志位为 1 即可。

002.png

最后,异常设置这里使用对当前线程设置异常即可,不要勾选对所有线程设置异常,会被 VMP 检测到被调试。

003.png

方案二、修改memcpy比较函数的参数


00007FF74A7017DC | 41:B8 10000000          | mov r8d,10                                      |
00007FF74A7017E2 | 48:8D9424 50010000      | lea rdx,qword ptr ss:[rsp+150]                  | rdx:EntryPoint
00007FF74A7017EA | 48:8D8C24 60010000      | lea rcx,qword ptr ss:[rsp+160]                  |
00007FF74A7017F2 | E8 99940000             | call testcheckmemory64.7FF74A70AC90             | memcmp 比较函数
00007FF74A7017F7 | 85C0                    | test eax,eax                                    |
00007FF74A7017F9 | 75 23                   | jne testcheckmemory64.7FF74A70181E              | 关键跳转

特征码地址: E8 ?? ?? ?? ?? 85 C0 75 23

该方案比较简单,直接将 RDX 寄存器数值修改为 RCX 即可。

101.png

方案三、修改参与比较的 MD5 内存数据


特征码地址: E8 ?? ?? ?? ?? 85 C0 75 23

直接将 RDX 寄存器指向的内存的数据 修改为 RCX 指向内存的数据即可,长度为 0x10。// 注意 baymax 输入的数值均为 HEX 数值

201.png

方案四、修改 memcpy 函数返回值

我们进入 memcmp 函数:

00007FF74A70AC90 | 48:2BD1                 | sub rdx,rcx                                     | rdx:EntryPoint
00007FF74A70AC93 | 49:83F8 08              | cmp r8,8                                        |
00007FF74A70AC97 | 72 22                   | jb testcheckmemory64.7FF74A70ACBB               |
00007FF74A70AC99 | F6C1 07                 | test cl,7                                       |
00007FF74A70AC9C | 74 14                   | je testcheckmemory64.7FF74A70ACB2               |
00007FF74A70AC9E | 66:90                   | nop     

提取函数入口特征码:48 2B D1 49 83 F8 08 72 22 F6 C1 07 74 14

1、勾选修改函数返回值,设置函数返回时修改类型,栈偏移为 0。
2、 设置 RAX 寄存器为 0,即 memcmp 函数返回 0,比较内存数据相同。
3、条件断点 参数 r8d == 0x10

301.png

目标程序+源码+补丁方案下载:


链接:https://pan.baidu.com/s/1afZOKMIdKUFI5vLbt4jmBg
提取码:cgr5
解压密码:Baymax64

baymax64 Patch(bpt files).zip

2.75 KB, 下载次数: 65, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 23威望 +1 吾爱币 +50 热心值 +22 收起 理由
小朋友呢 + 2 我很赞同!
笙若 + 1 + 1 谢谢@Thanks!
laoxiao414 + 1 + 1 谢谢@Thanks!
CrazyNut + 3 + 1 谢谢@Thanks!
bullshit + 1 + 1 谢谢@Thanks!
抱歉、 + 1 用心讨论,共获提升!
wgz001 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
浅笑不语 + 1 + 1 感谢分享
610100 + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
满不懂 + 1 + 1 谢谢@Thanks!
wangez + 1 + 1 谢谢@Thanks!
5911521 + 2 + 1 用心讨论,共获提升!
netspirit + 1 + 1 谢谢@Thanks!
allspark + 1 + 1 谢谢@Thanks!
cxqdly + 2 + 1 谢谢@Thanks!
ZMZwise + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
无知灰灰 + 1 + 1 用心讨论,共获提升!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
淡雅香 + 1 + 1 我很赞同!
LuckyClover + 1 + 1 谢谢@Thanks!
秋名山 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
qqycra + 1 + 1 我很赞同!
565266718 + 2 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

秋名山 发表于 2023-9-28 16:40
fu920821 发表于 2023-9-28 16:33
本帖最后由 Nisy 于 2023-9-28 16:31 编辑

用心评论!账号来之不易!请珍惜。
头像被屏蔽
yyb1813 发表于 2023-9-28 17:51
565266718 发表于 2023-9-28 16:15
qqycra 发表于 2023-9-28 16:30
大佬发帖,前来学习
wolaikaoyan 发表于 2023-9-28 16:53
高手,多谢楼主的分享,用心之作
LuckyClover 发表于 2023-9-28 17:08
真的是优秀啊
wasm2023 发表于 2023-9-28 20:24
楼主yyds
无知灰灰 发表于 2023-9-28 21:27
Nisy大大这些年好像低调很多。。。
ddwwtom 发表于 2023-9-28 23:14
学习一下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 14:11

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表