学破解论坛

 ★找回密码★
 ★免费注册★

QQ登录

绑定QQ,免密登录

查看: 575|回复: 10

vmp3.x的壳搜索不到字符需求PJ思路

[复制链接] |关注本帖

  离线 

签到天数: 3

该用户今日未签到




30HB
本帖最后由 water201 于 2021-11-13 14:21 编辑

今天遇到一个vmp3.5的壳,恳请论坛老友们指导一下思路

一、文件分析
文件是一个.dll文件,需要exe文件加载启动
PEID查不出壳,Exeinfo可以
183253mfzwqjlq8pf6mjzq.png

二、使用论坛的OD,可以启动文件,先把程序运行起来
184426e0nf7t1iq7qhnmtm.png
点击登录
1、首先按常规思路,ctrl+E,打开模块,选择需要跟踪的dll文件
183500x3ii5ppba44qasow.png
(由于这个加载地址会变化,很多次加载的dll插件是5XXXXXXX开头的,都是远远大于主程序里面的,主程序基本是1XXXXXXX开头的,
只有偶尔1-2次,我看到dll的模块基址是1开头的,所以如下是保留了1XXX开头的基址,上面模块的截图仅仅做说明!)
Executable modules, 条目 44
基址=1D040000
大小=00B1D000 (11653120.)
入口=1DB35451 chanlun.<ModuleEntryPoint>
名称=chanlun
路径=D:\tdx202006重回经典打板专用\T0002\dlls\chanlun2.0版.dll


然后就是分析->分析代码,
分析->从模块中删除分析,
中文搜索引擎->智能搜索,居然什么也搜索不出来?
183905beuyvyv1rh6serb8.png

2、改用断点,下BP CreateFileA,
184555smsvsm5gq5wwrmqm.png
断下之后,ctrl+F9,2次,到了插件的地方

184658c44czllg751thh59.png
再直接使用中文搜索引擎,智能搜索,可以看到关键文字了
184818s7ss8w8awddmfp7r.png
因为有试用时间,在这里可以看到关键的中文提示了。
找到关键的有剩余时间的地方下断点,
184959fmdb100xzghttqvq.png
往上面翻大概30行左右
这个关键call以后,就在EAX的值看到了asc字符串,这个是需要修改的
185248v1wxhkmxwkvi710w.png

1DB71A5A    8945 D0         mov dword ptr ss:[ebp-0x30],eax |这里改eax的asc值改为:17812
1DB71A5D    8B45 D0         mov eax,dword ptr ss:[ebp-0x30]
1DB71A60    50              push eax
1DB71A61    8B1D C803D11D   mov ebx,dword ptr ds:[0x1DD103C8]
1DB71A67    85DB            test ebx,ebx
1DB71A69    74 09           je short 1DB71A74
记下测试还没有过期的数值(17812),使用大白补丁工具打补丁
233531l2hel2rpwhyh7yhw.png

然后修改寄存器的时候出错

根据上面OD的数据

1DB71A5A    8945 D0         mov dword ptr ss:[ebp-0x30],eax |这里改eax值17812所以,我把首字节填写89,就不会报错了,但是测试,不能弹出这个EAX的值,
也就是在大白工具,断点没有被拦截下来。
是不是哪一步操作不对?

我觉得最大的可能是这个地方我理解不对,无法定位地址


我的想法是先到对位置,随便能够弹出一个框,看看断点是不是正常。



点评

麻烦补一下查毒链接。  发表于 2021-11-21 18:51
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 113

今日第501个签到

回复

使用道具 举报




这个应该是e盾吧。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  在线 

签到天数: 870

今日第298个签到

回复

使用道具 举报




看着这个应该是天盾的界面.............
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 3

该用户今日未签到

回复

使用道具 举报




本帖最后由 water201 于 2021-11-13 15:25 编辑

应该是的,我也是第一次遇到这个壳,也看不到字符串,想着脱壳太难,搞个注入补丁方便一点。
以前的dll文件可以直接搜索字符串,所以我就是找到关键断点,再找到dll插件的基址就可以断下来了
下面是我以前的常规思路
Sunwy(2030988)  14:56:44
一个程序的dll使用了vmp3.X的加壳,程序启动以后,直接在模块里面选择dll文件,看不到任何字符串。
主程序的基址是:400000
插件基址=1D040000
BP CreateFileA可以断下来,回到主程序的领空,这个时候搜索,可以看到与dll插件文件的有关的字符串,但是现在是在主程序,这里的内存地址怎么填写?(以前直接dll搜索出来的断点,我填写地址和插件基址就可以了)
1DB71A5A    8945 D0         mov dword ptr ss:[ebp-0x30],eax |这里改eax值17812
1DB71A5D    8B45 D0         mov eax,dword ptr ss:[ebp-0x30]
1DB71A60    50              push eax
QQ图片20211113152023.png

但是,对这个字符串都显示再主程序的,断点也断到主程序了,不知道如何设置?


学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 17

该用户今日未签到

回复

使用道具 举报




天盾吧 这个   
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 238

今日第41个签到

回复

使用道具 举报




这个意念破解
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 41

该用户今日未签到

回复

使用道具 举报




进来学习一下            
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 11

该用户今日未签到

回复

使用道具 举报




进来凑个热闹
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 144

该用户今日未签到

回复

使用道具 举报




EXE在哪下载 发链接
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 144

该用户今日未签到

回复

使用道具 举报




dll文件链接也没有
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
您需要登录后才可以回帖 登录 | 立即注册

获得更多积分,阅读本版加分规则

关闭

站长推荐上一条 /1 下一条

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!如有侵权请使用邮件或微信联系站长处理。

站长邮箱:SharkHeng@iCloud.com


站长微信号:SharkHeng|站长邮箱:SharkHeng@iCloud.com|鲨鱼逆向|无图版|手机版|小黑屋|FAQ|VIP破解教程|学破解论坛 ( 京公网安备 11011502002737号 | 京ICP备20003498号-3 )

GMT+8, 2021-11-28 23:06

快速回复 返回顶部 返回列表