2010.10.15_ximo_VMP脱壳后antidump的处理及再谈简单的爆破(带视频)

最新推荐文章于 2021-10-14 00:15:00 发布
最新推荐文章于 2021-10-14 00:15:00 发布
阅读量1.8k 收藏
点赞数
分类专栏: Vmprotect antidump 文章标签: 2010 c patch byte 脚本 bt

http://www.52pojie.cn/thread-67701-1-1.html  发表于 2010-10-15 21:36:31

VMP脱壳后,有个antidump,也就是说,加了VMP外壳后,又VM掉了某关键代码后,脱壳后,就得处理antidump部分,不然程序会出错。

下面就简单的说下我个人的处理方法,当然,方法很多,我能力有限,只会这种垃圾的方法。当然比补区段要看点,补区段实在是不得已而为止的方法。
脱壳部分就不说了,可以直接看视频,就直接去看antidump部分。

关键是寻找2条handler,来看下这2条handler吧。

VM_Add32: 
    0040DD86 Main     rol ax,cl
    0040DD89 Main     mov eax,dword ptr ss:[ebp]                ; EAX=35881B1A
    0040DD8C Main     cmp dx,ax
    0040DD8F Main     add dword ptr ss:[ebp+4],eax
    0040DD92 Main     jmp dumped.0040B070
    0040B070 Main     call dumped.0040C730
    0040C730 Main     pushad
    0040C731 Main     pushfd
    0040C732 Main     pop dword ptr ss:[esp+20]
    0040C736 Main     pushfd
    0040C737 Main     jmp dumped.0040DCBA
    0040DCBA Main     jmp dumped.0040C71C
    0040C71C Main     push dword ptr ss:[esp+24]
    0040C720 Main     pop dword ptr ss:[ebp]
    0040C723 Main     mov byte ptr ss:[esp+4],bl
    0040C727 Main     lea esp,dword ptr ss:[esp+28]
    0040C72B Main     jmp dumped.0040CD43
    0040CD43 Main     setge dh                                  ; EDX=00400186
    0040CD46 Main     jmp dumped.0040DC1E
    0040DC1E Main     pushad

VM_SetEip: 
    0040BC90 Main     movsx si,cl                               ; ESI=00410004
    0040BC94 Main     jmp dumped.0040DA71
    0040DA71 Main     mov esi,dword ptr ss:[ebp]                ; ESI=0040E5DE
    0040DA74 Main     call dumped.0040DC69
    0040DC69 Main     test bl,0AE
    0040DC6C Main     bt sp,9
    0040DC71 Main     mov byte ptr ss:[esp],ch
    0040DC74 Main     add ebp,4                                 ; EBP=0012FA38
    0040DC77 Main     pushad
    0040DC78 Main     pushfd
    0040DC79 Main     push 8116F71
    0040DC7E Main     pushfd
    0040DC7F Main     lea esp,dword ptr ss:[esp+30]
    0040DC83 Main     jmp dumped.0040CD27
    0040CD27 Main     bsr dx,ax                                 ; EDX=00400000
    0040CD2B Main     rcr bl,4                                  ; EBX=8D43C6EB
    0040CD2E Main     inc bl                                    ; EBX=8D43C6EC
    0040CD30 Main     sal bl,4                                  ; EBX=8D43C6C0
    0040CD33 Main     mov ebx,esi                               ; EBX=0040E5DE
    0040CD35 Main     push edx
    0040CD36 Main     rcl dx,cl
    0040CD39 Main     cmp cl,3D
    0040CD3C Main     add esi,dword ptr ss:[ebp]
    0040CD3F Main     lea esp,dword ptr ss:[esp+4]
    0040CD43 Main     setge dh                                  ; EDX=00400100
    0040CD46 Main     jmp dumped.0040DC1E
    0040DC1E Main     pushad
    ......后半段了,省略
    0040DC1F Main     mov al,byte ptr ds:[esi-1]                ; EAX=00000016

然后,在2句关键的代码处下好断点:
1. 0040DD8F Main     add dword ptr ss:[ebp+4],eax

2.0040DA71 Main     mov esi,dword ptr ss:[ebp]                ; ESI=0040E5DE


下好断点后,跑下面的脚本,主要是为了记录eax和esi的值: 
    var teax
    var tesi
    var logfile
    var info
    mov logfile,"log.txt"
    loop:
    run
    cmp eip,0040da71
    je Exit
    mov teax,eax
    mov tesi,esi
    eval "eax:{teax} esi:{tesi}"     
    mov info,$RESULT
    wrta logfile,info
    jmp loop
    Exit:
    ret

跑完脚本后,看日志,一般就是最后的2,3行,如: 
eax:CC59F905 esi:410EBE
eax:0 esi:410EB8
eax:154F78 esi:410E89

其中eax:0 esi:410EB8就是关键了。
所以,修改的方法呼之欲出,
0040DD8F Main     add dword ptr ss:[ebp+4],eax
下好断点,当esi==410EB8,修改eax的值为4即可。
可以修改的方法时,原来eax==4,则修改为0,原来eax==0,则修改为4
下面就是如何patch了,怎么patch,自由发挥。

其实这就是修改VM的跳转流程的一种方法,爆破VM的程序时,也可以如此修改,如拿上个爆破的程序为例:
看下日志: 
    vm.eip:4107C4      handle:40D74B      VM_Add32               vm.stack:0 //关键
    vm.eip:4107C5      handle:40C1EE      VM_SetR32_Reg_0        vm.stack:206
    vm.eip:4107C6      handle:40D37F      VM_RmSs32              vm.stack:12FF78
    vm.eip:4107C7      handle:40C1EE      VM_SetR32_Reg_30       vm.stack:5C059AFD
    vm.eip:4107C8      handle:40C1EE      VM_SetR32_Reg_2C       vm.stack:5C059AFD
    vm.eip:4107C9      handle:40C1EE      VM_SetR32_Reg_28       vm.stack:5C05BA25
    vm.eip:4107CA      handle:40D672      VM_GetR32              vm.stack:1E240
    vm.eip:4107CB      handle:40DA5A      VM_GetEsp              vm.stack:5C059AFD
    vm.eip:4107CC      handle:40D37F      VM_RmSs32              vm.stack:12FF7C
    vm.eip:4107CD      handle:40C1EE      VM_SetR32_Reg_14       vm.stack:5C059AFD
    vm.eip:4107CE      handle:40DA5A      VM_GetEsp              vm.stack:5C059AFD
    vm.eip:4107CF      handle:40D37F      VM_RmSs32              vm.stack:12FF7C
    vm.eip:4107D0      handle:40D125      VM_Nor32               vm.stack:5C059AFD
    vm.eip:4107D1      handle:40C1EE      VM_SetR32_Reg_30       vm.stack:282
    vm.eip:4107D2      handle:40CCF8      VM_GetI32              vm.stack:A3FA6502
    vm.eip:4107D7      handle:40D125      VM_Nor32               vm.stack:A3BA9816
    vm.eip:4107D8      handle:40C1EE      VM_SetR32_Reg_28       vm.stack:202
    vm.eip:4107D9      handle:40D672      VM_GetR32              vm.stack:5C0502E9
    vm.eip:4107DA      handle:40CCF8      VM_GetI32              vm.stack:5C059AFD
    vm.eip:4107DF      handle:40D125      VM_Nor32               vm.stack:5C4567E9
    vm.eip:4107E0      handle:40C1EE      VM_SetR32_Reg_28       vm.stack:282
    vm.eip:4107E1      handle:40D125      VM_Nor32               vm.stack:A3BA0002
    vm.eip:4107E2      handle:40C1EE      VM_SetR32_Reg_2C       vm.stack:206
    vm.eip:4107E3      handle:40C1EE      VM_SetR32_Reg_30       vm.stack:40FD14
    vm.eip:4107E4      handle:40D672      VM_GetR32              vm.stack:1E240
    vm.eip:4107E5      handle:40D672      VM_GetR32              vm.stack:7FFD7000
    vm.eip:4107E6      handle:40D672      VM_GetR32              vm.stack:206
    vm.eip:4107E7      handle:40D672      VM_GetR32              vm.stack:1E240
    vm.eip:4107E8      handle:40D672      VM_GetR32              vm.stack:12B948
    vm.eip:4107E9      handle:40D672      VM_GetR32              vm.stack:216
    vm.eip:4107EA      handle:40D672      VM_GetR32              vm.stack:408050
    vm.eip:4107EB      handle:40D672      VM_GetR32              vm.stack:12BA34
    vm.eip:4107EC      handle:40D672      VM_GetR32              vm.stack:12FFC0
    vm.eip:4107ED      handle:40D672      VM_GetR32              vm.stack:7FFD7000
    vm.eip:4107EE      handle:40D672      VM_GetR32              vm.stack:12BA34
    vm.eip:4107EF      handle:40CCF8      VM_GetI32              vm.stack:408050
    vm.eip:4107F4      handle:40D672      VM_GetR32              vm.stack:1DEBB337
    vm.eip:4107F5      handle:40D74B      VM_Add32               vm.stack:E2144CC9
    vm.eip:4107F6      handle:40C1EE      VM_SetR32_Reg_34       vm.stack:257
    vm.eip:4107F7      handle:40D672      VM_GetR32              vm.stack:0
    vm.eip:4107F8      handle:40D672      VM_GetR32              vm.stack:0
    vm.eip:4107F9      handle:40CE19      VM_SetEip              vm.stack:40FD14 //跳转

于是,在vm.eip:4107C4      handle:40D74B      VM_Add32               vm.stack:0 //关键

这关键的地方下好断点,当esi==4107C4时,修改eax的值即可,方法跟刚才一样,就是0跟4的互换。


http://pan.baidu.com/netdisk/singlepublic?fid=140670_203262421

gold2008
关注
专栏目录
视频笔记-吾爱破解ximo脱壳视频1~10
I have a dream
04-01 1401
总结归纳一下脱壳的几种方法: 1、单步跟踪法: 即F8一直运行下去,直到找到OEP 向下的跳转可以进行,向上的跳转不能进行 2、ESP定律法: 利用堆栈平衡原理,找到OEP 适用于:大部分的壳。例如:UPX壳、ASPACK、NSPACK、FSG、PECompact、EZIP、EXE32PACK等 3、一步直达法: 利用...
ximo脱壳基础(个人学习汇总记录 二 )
bukengde的博客
04-02 410
本篇从“ximo脱壳基础”教程第16节开始 0x02 (16)脱ACProtect1.32(无Stolen Code) 1)、设置异常,隐藏OD 选项—>调试设置—>设置内存访问异常 插件—>StrongOD—>Options—>勾选HidePEB Shift+F9直到程序运行(记录次数) 重载—>Shift+F9直到程序运行(次数-1)—>查...
VMP脱壳教程 BY Nooby
08-05
VMP手动脱壳教程,由Nooby大牛制作
2010.09.28_ximo_纠正下VMP脱壳中的修复DLL的错误
记录点滴
05-06 2190
http://hi.baidu.com/ximo2006/blog/item/ff0d3211f139f7def6039e75.html 用来纠正下《也来VMP2.05的脱壳》中,那个修复DLL的一些小问题。 主要的问题是出在对于导入的函数为序号时,则当时的代码就会出错。 比如MFC42.DLL中的函数都是按序号索引的,如mfc42.#4710 这时候,如果按这样的代码去获取地址:
逆向脱壳——脱壳后的修复
weixin_30762087的博客
06-21 1364
脱壳后的修复 IAT修复 IAT 导入地址表(IAT):Import Address Table 由于导入函数就是被程序调用但其执行代码又不在程序中的函数,这些函数的代码位于一个或者多个DLL 中.当PE 文件被装入内存的时候,Windows 装载器才将DLL 装入,并将调用导入函数的指令和函数实际所处的地址联系起来(动态连接),这操作就需要导入表完成. 为什么要手动修复IAT? 我们已经掌握了如...
脱壳操作
吖吖狼 的专栏
03-26 2450
常规操作: 1、寻找OEP:OD载入,找到OEP,停在OEP处(一般在push ebp代码处)。 2、生成转存文件:打开LordPE,选中程序的进程,右键“修正镜像大小”,然后右键“完整转存”,输入文件名,保存。此步也可用OD自的插件进行,在代码区右键“用OllyDump脱壳调试进程”,此外如果勾选了“重建输入表”,后面就不需要再用ImportREC修正输入表了,如果不勾选,则需要进入第3步
VMP学习笔记之壳的重定位修复(五)
u014738665的博客
10-14 791
理论知识: 1、为什么需要重定位 因为特殊情况这块地址不给用了你要挪到另外一个地方,你本来是在哪里的挪到另外一个地方你还是在哪里 如下图所示: 小明在教室A是第一排,搬到教室B小明还是第一排 2、待修复数据如下: push 0xFACE0002 -------->修复后是:0 mov edi,0xFACE0003 -------->修复后是:新区段首地址VMcontext jmp dword ptr ds:[eax*4+0x474FCF] -------->修复后是:.
ximo脱壳基础(个人学习汇总记录 一 )
bukengde的博客
04-02 640
0x01 假期学习了”ximo脱壳基础“,学习过程中有一些记录发出来可以供大家参考。记录中步骤都是以“ximo脱壳基础”中的例子为参考,部分壳进行时需要根据具体情况进行改变,这里的总结步骤不是绝对的过程。 有些方法是通用的,所以会重复出现。 0x02 1)UPX壳(压缩壳) 方法一:单步跟踪 使程序只执行向下跳转,不让向上跳,直到运行...
学习ximo脱壳视频:2、手脱ASPACK壳
Jaychouzzk
04-22 393
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95进行查壳        此程序的壳为ASPack使用OD载入程序,ASPack壳查询OEP有6种方法,1.单步跟踪,2.ESP定律,3.一步直达,4.二次内存镜像,5.模拟跟踪,6.SFX现演示两次内存镜象法、模拟跟踪和SFX法来进行查询OEP一、两次内存镜像法首先使用OD 载入此程序...
RouletteBetsRepository:1.创建新的规则的端点2.创建新的规则的端点(a输入后的端点)的后座标,创建的简单的指针和确定的身份歌剧表演的真实世界3.终结点apuesta a unnúmero(losnúmerosválidospara apostar son del 0 al 36)o color(negro o rojo)de la ruleta din canerod determinada de dinero(máximo10.000dólares)auna ruleta abi
03-15
终点(a no nomero a puesta a unpústérodel del al al al al 0 al 36)o彩色(negro o rojo)de la Ruleta una de cantind determinada de dinero(máximo10.000dólares)auna ruleta abierta。 注意:请在...
著名的脱壳工具的使用教程
11-03
用于反汇编程序的脱壳软件的使用教程,适用于32位与64位的程序
VMP2.08破解版 BY LCG
02-09
VMP2.08破解版
1_VMProtect_介绍.docx
05-26
VMProtect的软件介绍
一个PatchVMP3.x工具
05-11
学破解地址:https://www.xuepojie.com/forum.php?mod=viewthread&tid=37342&highlight=VMP
学习ximo脱壳视频:1、手脱UPX壳
Jaychouzzk
04-22 367
所用工具:Ollydbg(吾爱版)   PEID v0.95运行环境:windows xp使用PEID v0.95查询到,此程序壳为UPX壳使用Ollydbg载入程序对于UPX壳的程序,有四种寻找OEP方法:1.单步跟踪,2.ESP定律,3.一步直达法,4.二次内存镜像法1.使用单步跟踪法找到OEP。使用单步步过(F8)一步一步向下执行,遇到向上跳转的语句,将程序运行到下一句继续执行,再继续单步跟...
2011.11.10_33vc_VMP 2.06 antidump的处理
记录点滴
05-06 1171
http://www.33vc.com/index.php/archives/3769 欢迎观看点点的乐园 www.33vc.com 视频教程。 VIP教程更加精彩。本站官方QQ群为:56612062。 今天用VMP 2.06加壳。 V了一段。antidump.. 不加密IAT,今天这个不是重点。呵呵。其他保护都选上。 VMP每次加壳都不一样,现场加也许我还得分析,增加了不少难
视频笔记-吾爱破解ximo脱壳视频12
I have a dream
04-01 348
**目标:自校验的去除方法 适用于:当脱壳完成后,程序能运行但报遭修改的错误。修复了IAT之后,程序不能运行** 脱壳完成后,到程序OEP位置 同时打开原程序和脱壳完成后的程序,同时下断点bp CreateFileA 都取消断点,单步跟,比较二者不同,发现有一个跳转不同 则把脱壳后的程序这个跳转nop掉,或者改成jz,则程序正常运行 ...
2010.09.28_Nooby_vmp1.8+ antidump分析
记录点滴
05-02 1374
http://www.unpack.cn/forum.php?mod=viewthread&tid=56675 发表于 2010-9-28 15:10:50 例子一共V了2行 00401000    60              pushad 00401001    8B7424 24       mov     esi, dword ptr [esp+0x24]
2011.06.18_ximo_VMP antidump 之补区段法
记录点滴
05-06 2583
http://hi.baidu.com/ximo2006/blog/item/ee78110342cf621f1c9583a0.html 以前也写过处理VMP antidump方法的文章,当时用强制修改vm_jmp的方法来解决的,需要对VM有一定的了解,并且还要手动patch,可能比较麻烦,而且还有副作用,就是VM的内存随机效验,当然内存效验可能通过vm_rdtsc来解决。现在就介绍个用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值