玄武盾脱壳
本帖最后由 小曾 于 2022-6-6 08:30 编辑这里不发视频了,直接上图文1 这个是经过玄武盾加的软件
2 载入调试器,直接下断GetVersion
3 从系统领空回溯到入口点
4 直接dump下来,称为dump1
5 再次内存搜索
搜索IAT解密特征码,搜索的刚刚在调试器的程序 不是dump1
解密IAT的特征码
55 8B EC 81 EC 04 00 00 00 C7 45 FC 00 00 00 00 8B 45 08 8B 00 89 45 FC 8B 45 FC E9 00 00 00 00
8B E5 5D C2 04 00
6搜索完成之后
在这里进行下断
7这里返回API的地址,为什么找这个地址?这个地址对应的易语言中的call,例如载入窗口,是被抽取掉的,所以跑解密出来的api地址直接填充回去
填充的地址在栈里可以找
8 把所有iat解密的地方全部找全,大概有几个,然后打开dump1,把这些iat地址全部填充回去
9 修复完成之后,直接复制更改,称为dump2
此时dump2直接就可以打开的,但是跨平台是不行的,所以需要跨平台修复
10 跨平台修复,新的iat在代码段 我是直接在0000000000000000000000000000000后面为新的iat位置,这里就不用新增区段了,修复完成dump一份称为dump3
11.刚刚需要手动修复的iat,也已经被修复了
12.接着用scylla 修复转储到dump3,称为dump4然后把dump4复制到虚拟机,成功打开
----------------------------------------------------------
反调试我就不用多说了吧,懂的自然懂,主要是脱壳步骤,非常简单
-----------------------------------------------------------
这里是脱壳后的成品
链接:https://pan.baidu.com/s/1ejf-TDj7POU93VqaElQPzA
提取码:z8rg
By小曾原创
曾总yyds 曾大佬教程一看一个精神抖擞 感谢大佬分享
小曾哥哥牛逼 还得是曾少爷 大佬威武,学习了,哈哈
页:
[1]