Unpackme (vb_for_tmd2.19)

mycc · 发表于 2012-7-25 17:03

不会写CM，唯有转载，这个例子不是我加的，在看雪有人发过（无疾而终），于是转载过来这里
据分析，这个 VB IAT 修复可以说比较的轻松，三个按钮破解很容易，可以按原意重写
最后这个例子有 anti_dump 。被现在论坛的CM打击得不行了，玩玩别的。

mycc · 发表于 2012-7-25 17:56

发现自己搞错了，没有 anti dump，如果补区段那是体力活，干脆拦截了那三个按钮按它的意思重写一次过程，这样不优化的情况下，体积也就是 20k

mycc · 发表于 2012-7-25 18:24

不浪费时间，先放个半成品的脱壳脚本，后面修复看大家了
（这个例子的 IAT 也是见到 TMD 最简单的一种处理，壳对 VB 真的无爱  {:1_912:}
（但是三个按钮的 SDK 很强大，把我转晕了过去，彻底拜服）

var api
var iat
var temp
var one
var two
var oep
var i
mov one,005EF1C0
mov two,005EE919
bphwcall
lc

bphws one,"x"    // MOV [XXX],API
bphws two,"x"    // 写入了重定位地址，此时 EAX 等于 IAT 值
bphws 005EEFB3,"x"
vv:
call run_
mov api,eax
esto
mov iat,eax
mov [iat],api
esto
mov temp,edi
sub temp,5
eval "jmp  dword ptr[{iat}]"
asm temp,$RESULT
cmp iat,401090
je ok
jmp vv
run_:
esto
cmp eip,one
jne run_
ret

ok:
bphwcall
mov eip, 004011A3
mov [4011a2],#90#
asm 004011A3,"push 4013e8"
asm 004011a8,"call dword ptr[401078]"
ret

Sound · 发表于 2012-7-25 20:18

Tmd还真没怎么研究过..

貌似现在Tmd是2.22了吧....

mycc · 发表于 2012-7-25 20:46

2.22 我都木有见过哦

Puncture_sx · 发表于 2012-7-26 09:49

看见帖子很冷，过来膜拜一下，又被打击。。。

Sound · 发表于 2012-7-26 10:40

mycc 发表于 2012-7-25 00:46
2.22 我都木有见过哦

只用过TMD2.22的正式版2次,.............

好想有的正式版

帐号		自动登录	找回密码
密码			注册[Register]

[UnPackMe] Unpackme (vb_for_tmd2.19)

本帖子中包含更多资源

个人中心