一个无壳VME盾逆向后崩溃

18734330633 · 发表于 2018-10-22 22:21

查毒链接http://www.virscan.org/language/zh-cn/
登录.png

请大家帮忙瞅瞅我这错误在哪，是登录，合法找错了，还是退出不对
也想过在合法那赋予时间，可是结果还是一样
后来又想到登录运算登录运算.png

我感觉我登录运算也没找对
下载链接https://pan.baidu.com/s/1-U7shoBb7lRD43PzWVLiEQ密码kb4z
补上蓝走运链接https://www.lanzouw.com/i261j3g

DEEMO · 发表于 2018-10-22 22:33

E企业与普通E不同

E少 · 发表于 2018-10-22 22:51

{:7_267:}{:7_267:}{:7_267:}

18734330633 · 发表于 2018-10-23 05:37

E少发表于 2018-10-22 22:51

伙计指点下哇，或者出个教程，万分感激

18734330633 · 发表于 2018-10-23 05:40

DEEMO 发表于 2018-10-22 22:33
E企业与普通E不同

难怪了，在字符串里面没有找到E企的特征，也没有接触过E企。知道是E企直接回收站了

18734330633 · 发表于 2018-10-23 05:41

E少发表于 2018-10-22 22:51

楼上的说这个是E企，是真的企业版的吗

2311818459 · 发表于 2018-10-23 10:07

首先E盾逆向流程  登陆=>合法=>算法=>时间=>暗桩
修改为：mov esp,ebp
pop ebp
ret
登陆：
0000000000410DCB 55    push  rbp
0000000000410DCC 8B EC mov  ebp,esp
0000000000410DCE 81 EC 44 sub  esp,0x00000144
0000000000410DD4 C7 45 FC mov  dword ptr ss:[rbp-0x04],0x00000000
0000000000410DDB C7 45 F8 mov  dword ptr ss:[rbp-0x08],0x00000000
0000000000410DE2 C7 45 F4 mov  dword ptr ss:[rbp-0x0C],0x00000000
0000000000410DE9 C7 45 F0 mov  dword ptr ss:[rbp-0x10],0x00000000
0000000000410DF0 C7 45 EC mov  dword ptr ss:[rbp-0x14],0x00000000
0000000000410DF7 C7 45 E8 mov  dword ptr ss:[rbp-0x18],0x00000000
0000000000410DFE C7 45 E4 mov  dword ptr ss:[rbp-0x1C],0x00000000
0000000000410E05 C7 45 E0 mov  dword ptr ss:[rbp-0x20],0x00000000
0000000000410E0C C7 45 DC mov  dword ptr ss:[rbp-0x24],0x00000000
0000000000410E13 68 20 00 push  0x00000020

合法：
00000000004179A2 55    push  rbp
00000000004179A3 8B EC mov  ebp,esp
00000000004179A5 81 EC 84 sub  esp,0x00000084
00000000004179AB C7 45 FC mov  dword ptr ss:[rbp-0x04],0x00000000
00000000004179B2 C7 45 F8 mov  dword ptr ss:[rbp-0x08],0x00000000
00000000004179B9 C7 45 F4 mov  dword ptr ss:[rbp-0x0C],0x00000000
00000000004179C0 C7 45 F0 mov  dword ptr ss:[rbp-0x10],0x00000000
00000000004179C7 C7 45 EC mov  dword ptr ss:[rbp-0x14],0x00000000
00000000004179CE C7 45 E8 mov  dword ptr ss:[rbp-0x18],0x00000000
00000000004179D5 68 08 00 push  0x00000008

算法：
00446C51 55             push ebp
00446C52 8BEC          mov ebp,esp
00446C54 81EC 98000000 sub esp,0x98
00446C5A C745 FC 0000000>mov dword ptr ss:[ebp-0x4],0x0
00446C61 C745 F8 0000000>mov dword ptr ss:[ebp-0x8],0x0
00446C68 C745 F4 0000000>mov dword ptr ss:[ebp-0xC],0x0
00446C6F C745 F0 0000000>mov dword ptr ss:[ebp-0x10],0x0
00446C76 C745 EC 0000000>mov dword ptr ss:[ebp-0x14],0x0
00446C7D C745 E8 0000000>mov dword ptr ss:[ebp-0x18],0x0
00446C84 C745 E4 0000000>mov dword ptr ss:[ebp-0x1C],0x0
00446C8B C745 E0 0000000>mov dword ptr ss:[ebp-0x20],0x0
00446C92 C745 DC 0000000>mov dword ptr ss:[ebp-0x24],0x0
00446C99 C745 D8 0000000>mov dword ptr ss:[ebp-0x28],0x0
00446CA0 C745 D4 0000000>mov dword ptr ss:[ebp-0x2C],0x0
00446CA7 C745 D0 0000000>mov dword ptr ss:[ebp-0x30],0x0
00446CAE C745 CC 0000000>mov dword ptr ss:[ebp-0x34],0x0
00446CB5 C745 C8 0000000>mov dword ptr ss:[ebp-0x38],0x0
00446CBC C745 C4 0000000>mov dword ptr ss:[ebp-0x3C],0x0
00446CC3 C745 C0 0000000>mov dword ptr ss:[ebp-0x40],0x0
00446CCA C745 BC 0000000>mov dword ptr ss:[ebp-0x44],0x0
00446CD1 C745 B8 0000000>mov dword ptr ss:[ebp-0x48],0x0
00446CD8 68 08000000    push 0x8
只能帮你到这里了  搜到和这个类似的就可以改了

W_H_I · 发表于 2018-10-23 14:09

我就想问一下，你这个是啥OD，我这个直接被检测到了，换了N个都不行，VMP检测OD

18734330633 · 发表于 2018-10-23 15:17

W_H_I 发表于 2018-10-23 14:09
我就想问一下，你这个是啥OD，我这个直接被检测到了，换了N个都不行，VMP检测OD

谢谢兄弟下载调试，直接下个退出断点就断下来了，然后再调试

18734330633 · 发表于 2018-10-23 15:19

2311818459 发表于 2018-10-23 10:07
首先E盾逆向流程登陆=>合法=>算法=>时间=>暗桩
修改为：mov esp,ebp
pop ebp

谢谢兄弟指点，登录合法我应该找的是对的，时间也给赋值了，运算找不到。现在就是不知道是不是运算被V了

		自动登录	找回密码
密码			立即注册