好友
阅读权限20
听众
最后登录1970-1-1
|
hszt
发表于 2020-10-14 16:56
本帖最后由 hszt 于 2022-9-13 09:04 编辑
方法,利用CopyFileA让vmp壳本身自己把文件吐出来
自己写个dll注入到程序里面,如果比较懒,可以直接在od里面写代码,一样的,看到这个应该都懂了吧
测试支持最新版3.5
看了一下,vmp会hook很多api,突然想到,如果软件本身要执行文件创建或者拷贝操作呢
所以自己写了个dll,知道封装的内存文件名字后,调用CopyFileA就顺利复制出来了
关于文件名,一般都是封装dll,那自然会加载,加载后od可以看到,或者LoadLibraryExW这些,可以看到加载的时候dll文件名
如果是其他不知道名字的,我就不会了,但是测试过txt,知道文件名也可以利用这个方法
这个方法理论上对其他封装的都有效果,就是要知道文件名,测试The Enigma Protector也可以
我用的是win7 64虚拟机,xp系统测试没成功,vmp 2.x好像不支持
最后给懒人们传个dll,自己修改里面的路径就行了
提取vmp封装文件.rar
(588 Bytes, 下载次数: 967)
|
免费评分
-
查看全部评分
本帖被以下淘专辑推荐:
- · 鱼木收集|主题: 2485, 订阅: 2663
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|