VMP 1.6-1.7脱壳记录(淘淘文件时间修改之星1.4,)

最近在看天草的VMP和他乡的VMP教程,感觉都是脚本党啊,看了只能明白一些东西,有很多很模糊的概念,他乡这个纯碎是只讲操作不讲原理,坑爹,幸好没买他的教程,不然亏死。

因为想练习一下脱这壳,于是上菲凡下了这个东西练手:

EP:

007C3B5E >  68 394693A7     PUSH    0xA7934639
007C3B63    E8 D3541900     CALL    PhotoDat.0095903B
007C3B68    68 7C3C930F     PUSH    0xF933C7C
007C3B6D    E8 C9541900     CALL    PhotoDat.0095903B
007C3B72    82EB 7A         SUB     BL, 0x7A
007C3B75    C2 F0A7         RETN    0xA7F0

不确定是哪个版本,先尝试一下:

virtualProtect 下断点,具体找这个的理由我分析有2个:

1.因为原来的代码段是只读,但是由於VMP把代码压缩到另一个位置,要还原这些代码,必须先把代码段变成可读写

2.我用ollydbg的TC命令,第一个调用API的地方也是VirtualProtect,但也有可能是GetModuleHande

利用vritualprotect,然后看看保护的地方,当代码段还原为readonly,则是返回时机了,这时对.text下内存访问断点,然后F9几下,直到来到.text段的位置(或者是代码像OEP的地方,代码会很整齐的)


这里找到的OEP的RVA是:0019F46C,看到入口是DELPHI,没被抽取,庆幸。

于是,到这里看看第一调用CALL,发现第一个API是GetModuleHande,被处理成jmp xxxx,xxxx是VMP段的位置了。

因为在之前看过kissy的脚本,于是改了下,将入口点和生成API地址的地方记下来,跑脚本修复。

这个过程中因为有好些地址出现了JMP 到一些并没有意义的指令里,于是,个人调了很多次,将无意义的地方记下来,如果找到这些地方就不执行。

后面终於修复成功.

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
宇视智慧物联平台一体机VS-VMP-E500-H是一种集成式物联网解决方案,具有多种功能和特性。 首先,宇视智慧物联平台一体机VS-VMP-E500-H具备强大的数据处理能力。其搭载了高性能处理器和大容量内存,可以支持大规模的数据采集、传输和分析任务。这意味着用户可以在短时间内获取并处理大量的传感器数据,从而实现对物联网设备的实时监控和管理。 其次,宇视智慧物联平台一体机VS-VMP-E500-H支持多种通信协议和接口。用户可以通过以太网、WiFi、蓝牙等多种方式与物联网设备进行通信。此外,该平台还支持RS485、RS232等多种接口,可以与各种传感器、监控设备等进行连接。这使得用户在构建物联网系统时具有更大的灵活性和可扩展性。 再次,宇视智慧物联平台一体机VS-VMP-E500-H提供了丰富的软件功能和应用。该平台拥有友好的用户界面和易于使用的配置界面,使用户能够方便地管理和控制物联网设备。此外,该平台还提供了多种应用场景下的软件功能,例如视频监控、智能家居、智慧城市等。这使得用户可以根据实际需求选择与之匹配的应用模块,快速构建适用于不同领域的物联网解决方案。 总之,宇视智慧物联平台一体机VS-VMP-E500-H是一种功能强大、灵活多样的物联网解决方案。其强大的数据处理能力、多种通信协议和接口以及丰富的软件功能,使其成为构建高效、安全、可靠的物联网系统的理想选择。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值