一键易游验证爆破的重新分析 并清理蠕虫病毒

天下

原帖地址：https://www.52pojie.cn/thread-1284945-1-1.html
对于一些不会破网络验证的，学习估计要困难点。
以后遇到其它外面加验证壳的程序不知如何处理。
我这个就针对新手来一下子吧。
我就来个差不多可以通用的。无需要破网络验证的。
原程序：VMP壳，加个蠕虫病毒感染。
蠕虫直接上火绒查就完了。会恢复原文件。

把恢复好的拖到虚拟机。直接运行。

经典的易游验证－
上LordPe
直接脱，管他娘的。

转出来的肯定不能运行，我们也不需要他能运行，只是需要VMP运行后恢复的代码数据而已。
上ExeInfoPe

选择这个菜单，查找PE文件。

扫描到两个文件出来。并释放在了同目录中。

这会儿可以说是破解成功了，但是有蠕虫病毒，只能算是半成功。下面开始清毒。
一个EXE和一个DLL。DLL一看就是皮肤文件，先不管他原文件名是啥。只要能运行主程序就好。
但是这会儿是不敢运行的。因为有蠕虫病毒。看EXE文件的描述就清楚。
老规矩，肯定火绒先干他。

但是这次火绒直接把病毒隔离了，并没有恢复文件。
那就手动处理一下病毒吧。
查壳

UPX壳，脱了再查

很经典的蠕虫病毒形式。加一个病毒区段，并把程序入口改到病毒入口。
那我们就恢复OEP，再删除区段就可以说算是成功了。
为了避免感染（虽然是虚拟机，但是为了预防大家实机操作），OD载入，特征码的方式查入口。因为事先知道这个是易语言开发的了。


这入口一看就不对，CTRL+G转401000－右键－查找－所有模块间的调用－找GetVersion　　这是易语言入口调用的第一个API
找到四个，那么一个一个看，看哪个更像一点




很好，第一个就是了。记下OEP地址004A4719 （修复时要去掉文件基址400000也就是记下A4719就好）
关掉OD，LordPE修复入口。然后再删除最后一个text区段完事




虽然现在火绒还报毒，但是就是其它病毒了。在我的虚拟机里再没有EXE被感染了。
经过我的实验，他是EXE附加数据里面的东西报毒。我删除掉附加数据后不报。这些就暂且不管了。没蠕虫就好。
虽然有点啰嗦，但是整体操作下来也不需要几分钟。仅供新手学习，高手请留情。哈哈。加上视频教程

xxhaishixx

巧妙的运用了工具，很不错，支持了。

天下

msk123 发表于 2020-11-5 16:08
https://www.lanzoux.com/b01bsamkd 文件上传不了 蓝奏可以不

载入程序后，把这里改成这样，然后就随便调试吧

一场荒唐半生梦

楼主这个是？？？

anlovedong

学习了，谢谢楼主分享

byh3025

老练的手法，学习了

Michael-Fade

学不来学不来

she383536296

膜拜大佬

ws565666

感谢楼主,学习了

qsx123

感谢分享，收藏备用！

素颜朝天

谢谢楼主分享