ep区段是.vmp1的壳怎么脱
展开全部
VMP的外壳不能说难,只能说很烦,当然新手还是最好别碰,至于什么用工具脱,那全是假的,目前没有VMP的脱壳机,至少没有流传出来,部分组织或者高手间应该还是有的。
下面说下方法:
一般都是解码后dump,修正OEP,这只能保证保证本地运行。要跨平台,需要修复IAT。而修复IAT的方法,1.8前可以找nooby的脚本,1.8后,由于调用的错位,乱序,以及寄存器使用的随机性,写脚本不好写,不好写通用,而且往往会修漏,更无法修复VM掉代码里的IAT,所以目前做简单也是最治本的方法,就是生成IAT的调用关系的txt文本,再带个DLL去读。其他的好方法,实在想不到。
说下解码dump吧,一般在VirtualProtectEx调用处下好断点,看代码段是否解码。发现解码后,取消断点,HOOK住VM_Retn,找OEP,找到后,dump就OK了。
下面说下方法:
一般都是解码后dump,修正OEP,这只能保证保证本地运行。要跨平台,需要修复IAT。而修复IAT的方法,1.8前可以找nooby的脚本,1.8后,由于调用的错位,乱序,以及寄存器使用的随机性,写脚本不好写,不好写通用,而且往往会修漏,更无法修复VM掉代码里的IAT,所以目前做简单也是最治本的方法,就是生成IAT的调用关系的txt文本,再带个DLL去读。其他的好方法,实在想不到。
说下解码dump吧,一般在VirtualProtectEx调用处下好断点,看代码段是否解码。发现解码后,取消断点,HOOK住VM_Retn,找OEP,找到后,dump就OK了。
本回答被提问者和网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
