利用工具半自动修复VMP3.5壳的变异IAT

boot · 发表于 2024-4-4 19:34

jjyjjy003159 发表于 2024-4-4 19:17
是的，exe那边没有什么好的框架，开发相对麻烦一些

星野爱最新发布的3.8IAT修复插件存在问题，我用在修复3.5的样本的时候，就崩溃了。
另外建议把unicorn，keystone和capstone静态编译到插件里，但这样做的话，估计插件有几十MB左右，加个upx，应该控制在十几MB这样。另外，插件有bug，配置好之后，启动一个OD没问题，启动第二个OD就会崩溃。@jjyjjy003159

学编程的闹钟 · 发表于 2024-4-4 21:19

jjyjjy003159 发表于 2024-4-4 19:17
是的，exe那边没有什么好的框架，开发相对麻烦一些

感觉exe版本的形式好用一点,哈哈

学编程的闹钟 · 发表于 2024-4-4 21:20

boot 发表于 2024-4-4 19:34
星野爱最新发布的3.8IAT修复插件存在问题，我用在修复3.5的样本的时候，就崩溃了。
另外建议把unicorn，k ...

还有这问题吗,我还不知道

jjyjjy003159 · 发表于 2024-4-5 10:37

boot 发表于 2024-4-4 19:34
星野爱最新发布的3.8IAT修复插件存在问题，我用在修复3.5的样本的时候，就崩溃了。
另外建议把unicorn，k ...

崩溃是因为unicorn的原因，他执行到一些错误的指令，不会返回uc_err，而是直接崩溃了

jjyjjy003159 · 发表于 2024-4-5 10:39

boot 发表于 2024-4-4 19:34
星野爱最新发布的3.8IAT修复插件存在问题，我用在修复3.5的样本的时候，就崩溃了。
另外建议把unicorn，k ...

静态编译到插件本身那个就是支持的，只是因为我编译插件的电脑是vs2019，但是开发插件的是vs2022，到时候优化一下这些吧

jjyjjy003159 · 发表于 2024-4-5 13:51

本帖最后由 jjyjjy003159 于 2024-4-5 13:54 编辑

vmp3.8.x iat修复原理很简单，没什么难度，基本上就是识别，模拟，修复

boot · 发表于 2024-4-5 15:27

jjyjjy003159 发表于 2024-4-5 13:51
vmp3.8.x iat修复原理很简单，没什么难度，基本上就是识别，模拟，修复

和寞叶提供的插件相类似，他的插件我用较旧版本的vs一直无法编译通过。等会我把之前提到的3.5样本提供给你。

学编程的闹钟 · 发表于 2024-4-5 17:48

jjyjjy003159 发表于 2024-4-5 13:51
vmp3.8.x iat修复原理很简单，没什么难度，基本上就是识别，模拟，修复

这个识别怎么识别的汇编代码呢

学编程的闹钟 · 发表于 2024-4-5 18:05

jjyjjy003159 发表于 2024-4-5 10:39
静态编译到插件本身那个就是支持的，只是因为我编译插件的电脑是vs2019，但是开发插件的是vs2022，到时候 ...

开发和编译还可以再不同的VS吗

学编程的闹钟 · 发表于 2024-4-5 18:08

boot 发表于 2024-4-5 15:27
和寞叶提供的插件相类似，他的插件我用较旧版本的vs一直无法编译通过。等会我把之前提到的3.5样本提供给 ...

发一个在帖子上呗

		自动登录	找回密码
密码			立即注册

[原创逆向图文] 利用工具半自动修复VMP3.5壳的变异IAT

点评

点评