利用工具半自动修复VMP3.5壳的变异IAT

本教程不讲解过反调试,寻找并修复OEP等内容, 只讲解修复变异IAT的部分, 有疑问或者错误的地方可以指出来, 用到的工具有x32dbg    vmp3-import-fix-x86    Universal Import Fixer    Imports Fixer, 除了x32dbg调试器,其余软件都在附件可以下载
第一步:调试器调试到OEP后暂停(记下OEP地址和进程ID), 可以看见下图中的call FD320A, FD320A这个地址会跳转到.vmp0段, 这里应该是直接调用GetVersion函数的;
第二步:以管理员打开cmd, 执行"vmp3-import-fix-x86 -p 之前记下的进程ID"命令, 执行完命令后随便用个工具dump出来;

第三步:以管理员打开Universal Import Fixer, 进程ID填写之前记下的进程ID, 代码始于和代码止于自己看自己的调试器中的地址填写, 新的IAT VA可以不填写, 勾选修复输入表, 点击开始, 等待修复完后就进行下一步
第四步:以管理员打开Imports Fixer, 进程列表中选择正在调试的进程, 点击IT&IAT, 代码区段中选择.text, OEP填写之前记下的OEP地址, 点击获取导入表, 把无效指针都去掉, 点击修正转储, 选择之前dump出来的文件, 最后dump出来的文件就已经修复完变异IAT啦, 可以把.vmp0和.vmp1区段头和数据全部删除啦

觉得可以的话,给个评分吧!

这个开源的工具有bug吧，mov不会修复吧，所以我才重新开发了一份

jjyjjy003159 发表于 2024-2-27 13:36
这个开源的工具有bug吧，mov不会修复吧，所以我才重新开发了一份

是吗,我测试了几个软件都可以,你重新开发的vmp3-import-fix在哪呢

学编程的闹钟 发表于 2024-2-27 13:38
是吗,我测试了几个软件都可以,你重新开发的vmp3-import-fix在哪呢

我试的vmp3.5,3.6,3.7,3.8都不行，不知道啥原因

jjyjjy003159 发表于 2024-2-27 18:27
我试的vmp3.5,3.6,3.7,3.8都不行，不知道啥原因

3.5以上我没试过,我主要试的3.2-3.5

学编程的闹钟 发表于 2024-2-27 20:46
3.5以上我没试过,我主要试的3.2-3.5

来个视频学习一下 好鸽鸽

52bug 发表于 2024-2-28 01:21
来个视频学习一下 好鸽鸽

之后会出图文和视频的,现在的我还是菜鸟,需要多练习,哈哈哈

留个脚印，说不定哪天能用的呢！

dircou 发表于 2024-2-28 09:44
留个脚印，说不定哪天能用的呢！

说不定哪天我就出图文和视频教程呢

学编程的闹钟 发表于 2024-2-28 09:45
说不定哪天我就出图文和视频教程呢

哈哈，膜拜中
在弄一个天盾的小程序，同一系列有两个软件，一个加了VMP一个没加！