VMProtect封装文件提取 提取vmp3.x封装的内存文件 加密壳封装文件提取支持3.6版本

hszt

方法，利用CopyFileA让vmp壳本身自己把文件吐出来
自己写个dll注入到程序里面，如果比较懒，可以直接在od里面写代码，一样的，看到这个应该都懂了吧


测试支持最新版3.5

看了一下，vmp会hook很多api，突然想到，如果软件本身要执行文件创建或者拷贝操作呢
所以自己写了个dll，知道封装的内存文件名字后，调用CopyFileA就顺利复制出来了
关于文件名，一般都是封装dll，那自然会加载，加载后od可以看到，或者LoadLibraryExW这些，可以看到加载的时候dll文件名
如果是其他不知道名字的，我就不会了，但是测试过txt，知道文件名也可以利用这个方法




这个方法理论上对其他封装的都有效果，就是要知道文件名，测试The Enigma Protector也可以



我用的是win7 64虚拟机，xp系统测试没成功，vmp 2.x好像不支持

最后给懒人们传个dll，自己修改里面的路径就行了

提取vmp封装文件.rar (588 Bytes, 下载次数: 967)

2020-10-14 16:56 上传

点击文件名下载附件

hszt

wtujoxk 发表于 2020-10-14 17:45
怎么使用，还是有点懵！

比如  c:\123\test.vmp.exe里面有个dll文件是  Code.dll
先用OD改我发的dll里面的路径 c:\123\ Code.dll保存
然后od加载test.vmp.exe运行，解码后暂停，然后用strongOD的注入dll功能加载我的dll，运行，就自动复制到C盘了
相信不久的将来会有人分析得到文件列表的方法，甚至写工具或者插件提取

Hmily

方法挺好，学习了。

朱朱你堕落了

来个测试样本？

hszt

朱朱你堕落了 发表于 2020-10-14 17:33
来个测试样本？

随便找个程序用vmp加壳，添加文件就行了

wtujoxk

怎么使用，还是有点懵！

hugh_dev

方法挺好，学习了。~

fangchang819

你太🐂了！

fangchang819

上面数字是牛的图片，不能显示出来。

byh3025

你太牛了，赞了