【软件逆向】带壳带反调试找flag教程(VMProtect3.0+X64dbg+ScyllaHide)

已于 2023-10-24 17:05:10 修改
阅读量2.2k 收藏 12
点赞数 1
文章标签: 1024程序员节 软件逆向 CTF
于 2023-10-24 04:04:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangjiuding/article/details/134002827
版权

本教程是博主解答特定题目的一次特殊经历,但是解答问题的方法和思路是共通的,希望能帮到做逆向的朋友。

一、答案

jZiBUViF0WUYwISp4qjx5YwucMNGpb4g

二、解题步骤

  1. 查壳。
  2. 尝试去壳。
  3. 反反调试。
  4. 动态调试,输入字符串。
  5. 找寄存器附近是否有具有flag特征的字符串。(特别是具有循环比较特征的汇编代码)
  6. 找到后重新运行crackme2.exe,验证字符串是否是flag,若是,结束;若不是,重复第5步。

三、解题工具

查壳工具:ExeInfoPE、Detect It Easy。
脱壳工具:Scylla。
调试工具:IDA Pro、X64dbg。
反反调试插件:ScyllaHide。

四、解题过程

  1. 使用Exeinfo PE查壳,显示“VMProtect v.3.0x - ver.3.0.0 - 3.5.0”表示有壳,类型为VMP3.0~3.5,但是同时显示“not packed”表示无壳,比较奇怪,用其他工具再验证一下。
    在这里插入图片描述
  2. 使用Detect It Easy再次查壳,查明确实有VMProtect加壳,版本在3.2.0~3.5.0之间。
    在这里插入图片描述
  3. 尝试使用Scylla去壳,点击dump保存crackme2.exe的dump文件。
    在这里插入图片描述
  4. 使用X64dbg动态调试,找到程序的真实OEP。加壳前后RSP寄存器的值应该保持一致,所以程序的入口处的RSP应该与运行到地址0x140340CD3处的RSP保持一致,为0x14FF28。
    在这里插入图片描述
  5. 对0x14FF28处地址下4字节的硬件写入断点。
    在这里插入图片描述
  6. 重新开始动态调试,每次RSP==0x14FF28时都使用IAT Autosearch,并且Get Imports,如果全部为绿色的对勾,则说明找到了入口,点击Fix Dump使用第3步保存的dump文件修复。
    在这里插入图片描述
  7. 由于有9个红叉,没能完全脱壳,程序不能正常运行,但是可以使用IDA Pro查看静态反汇编代码。可以看到代码中的花指令基本消失了。
    在这里插入图片描述
  8. 使用ScyllaHide反反调试,将以下文件放入“./Xdbg/ release/x64/plugins/”路径下。
    在这里插入图片描述
  9. 重启x64dbg后动态调试crackme2.exe,打开ScyllaHide Options把“kill反附加”和“禁止创建线程”勾上。
    在这里插入图片描述
  10. 动态运行到0x140349714处,程序会阻塞,等待控制台输入。
    在这里插入图片描述
  11. 输入任意字符串回车,立刻回x64dbg按F7继续调试。(按晚了程序会退出,暂时未找到原因)
    在这里插入图片描述
  12. 按F7调试执行到0x4A3813处,此时rbx地址为0x14FDE0。
    在这里插入图片描述
  13. 在内存窗口中查看rbx指向的数据,一串字符‘4’后面跟着的字符串具有flag特征。
    在这里插入图片描述
  14. 重新运行crackme2.exe,输入第13步中的字符串
    jZiBUViF0WUYwISp4qjx5YwucMNGpb4g
    在这里插入图片描述

五、参考文献

[1] ScyllaHide教程:https://blog.csdn.net/kinghzking/article/details/122070991
[2] 反反调试理论教程:https://bbs.kanxue.com/thread-226455.htm
[3] 反反调试实践教程:https://www.52pojie.cn/thread-1432590-1-1.html
[4] Scylla脱壳实践教程:https://blog.iamli.cc/archives/20

ninding
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
最好的查工具DIE (大家可以试试比PEID好用),
04-10
Detect It Easy简称Die,是一款专业查工具,比PEID强大得多,能查一次查到底。并支持超大文件读取,其他查工具无法打开的程序,这个都能读取。虽然没有PEID出名,但是相当的强大,完全可以替代PEID。 软件特色 绿色免费,不用安装 支持文件拖放 支持添加右键菜单 支持多国语言(包含简体中文) 支持 Windows,Mac,Linux 系统 支持自定义插件 支持脚本编写与定义 支持多种皮肤选择 支持 16 进制编辑
ExeinfoPe exe查工具
05-24
ExeinfoPe exe查工具
VMP-unpacking.rar_VMProtect2.46_vmp3 0脱_vmp3.0-3.0x脱_vmp一键脱_v
07-15
VMP脱,通过简单几个步骤不需要去研究VMP的原理了。
BUUCTF——Reverse——reverse3
计算机硕士的博客
12-30 460
BUUCTF——Reverse——reverse3,详细解题步骤。
逆向分析 工具、加、安全防护篇
有勇气的牛排博客
09-16 7964
逆向分析 工具、加、安全防护篇
VMP (VMProtect)脱
热门推荐
zhw309的专栏
09-04 2万+
VMP脱 VMProtect 脚本
代码保护软件VMProtect原理总结
RoffeyYang的博客
06-17 4151
VMProtect是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。 VMProtect通过在具有非标准体系结构的虚拟机上执行代码来保护代码,这将使分析和破解软件变得十分困难。除此之外,VMProtect还可以生成和验证序列号,限制免费升级等等。 下载VMProtect最新试用版 VMProtect正版授权在线订购享受最低价,仅售801元起!还不赶紧加入你的订购清单?>>更多详情可点击咨询购买
逆向分析系列——常见的脱工具
任浩的博客
02-03 2323
工具 :UPX-Ripper1.3 UPX-ShellEx V1.0 RC9 脱对象:UPX Stripper v2.7 ASP Unpacker PE-Scan 脱对象:ASPack UnPECompact 脱对象:PECompact ArmaGeddon1.5 脱对象:Armadillo Unpacker ExeCryptor 2.x.x 脱对象:ExeCryptor Themida-unpacker 脱对象:Themida NsPacker Strripper.
(转)Detect it Easy(侦测工具)使用方法介绍
weixin_34005042的博客
03-11 1万+
http://www.ucbug.com/jiaocheng/129805.html Detect it Easy是一个多功能的PE-DIY工具,主要用于侦测。功能正日益完善,是不可多得的破解利器!支持文件直接拖放,可添加到右键菜单 Detect it Easy是一个多功能的PE-DIY工具,主要用于侦测。功能正日益完善,是不可多得的破解利器!支持文件直接拖放,可...
die查工具 使用教程
fengtum的博客
08-03 9290
这是一款开源软件,有兴趣的同学可以根据源代码自己DIY属于自己的查神器》》》https://github.com/horsicq/Detect-It-Easy “DIE”是一个跨平台的应用程序,除Windows版本外,还有适用于Linux和Mac OS的可用版本。 许多此类程序(PEID,PE工具)允许使用第三方签名。不幸的是,这些签名只能通过预设掩码扫描字节,并且无法指定其他参数。结果,经常发生错误的触发。程序本身通常严格设置更复杂的算法。因此,要添加新的复杂检测,需要重新编译整个项目。除作者自己外,没
VMProtect 1.xx - 2.xx自动脱机(脚本)+教程
04-26
LCF-AT 是个传奇,脱牛人。他跟 Raham 都是研究脱,不研究破解的。两个都是脱牛人。VMProtect 1.xx - 2.xx自动脱机(脚本)+教程(密码tuts4you)
他乡脱系列教程VMProtect
12-29
他乡脱系列教程,详细讲解了VMProtect的相关知识
工具(ExEinfoPE、PEiD )
07-04
工具(ExEinfoPE、PEiD )可以查出目前主流
x64dbg检测插件2017-1-21版
02-06
x64dbg检测插件2017年1月21日版本
NoVmp:适用于VMProtect x64 3.x的静态虚拟化程序。 由VTIL驱动
03-17
NoVmp是一个将VMProtect x64 3.0-3.5(最新)化为优化的VTIL,并可以选择使用库重新编译回x64的项目。 它颇具实验性,主要是我想发布的PoC。 大多数事情都可以改进,尤其是使用新的NativeLifters存储库,但在编写该...
VMProtect.zip_ VMProtect _vmprotect_逆向
07-14
VMProtect逆向分析相关的资料,一蓑烟雨论坛大牛的作品,对于破解或逆向分析很有启发作用。
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
vmprotect.exe 调试
05-30
vmprotect.exe 提供了多种调试保护选项,可以有效地防止调试工具对加密程序的调试。以下是一些常用的调试保护选项: 1. 隐藏调试器:该选项会在程序运行时检测调试器的存在,并将调试信息传递给调试器,但不会让调试器附加到程序进程上,从而实现隐藏调试器的效果。 ``` vmprotect.exe input.exe output.exe --anti-debug=hide ``` 2. 检测调试器:该选项会在程序运行时检测调试器的存在,并在检测到调试器后使程序崩溃或者执行其他操作,从而防止调试器对程序进行调试。 ``` vmprotect.exe input.exe output.exe --anti-debug=detect ``` 3. 破坏调试器:该选项会在程序运行时检测调试器的存在,并破坏调试器的调试功能,从而防止调试器对程序进行调试。 ``` vmprotect.exe input.exe output.exe --anti-debug=destroy ``` 4. 强制调试器:该选项会在程序运行时强制启动调试器,但是会禁止调试器访问程序的内存和寄存器等信息,从而限制调试器的功能。 ``` vmprotect.exe input.exe output.exe --anti-debug=force ``` 需要注意的是,调试保护选项并不能完全保证程序不被调试,只能增加调试的难度和复杂度。因此,在加密程序时,应该综合考虑多种保护措施,以达到更好的保护效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ninding

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值