-
-
[旧帖] [求助]ASPack + VMProtect 混合壳,高手请指点一下 0.00雪花
-
发表于: 2008-11-19 20:49
-
今天碰到了个ASPack + VMProtect 混合壳,拿来瞻仰下。
先用Peid看一下,Peid显示是ASPack 2.12 -> Alexey Solodovnikov,看区段比一般ASPack多出个VMP0和VMP1的区段,应该是用VMProtect保护的区域了,之前没接触过VMProtect,不知道如何下手,先按普通的ASPack壳的方法试一下:
-----------------------------------------------
00524001 > 60 pushad
00524002 E8 03000000 call 0052400A ; ESP 定律
00524007 - E9 EB045D45 jmp 45AF44F7
0052400C 55 push ebp
0052400D C3 retn
------------------------------------------------
005243B0 /75 08 jnz short 005243BA
005243B2 |B8 01000000 mov eax, 1
005243B7 |C2 0C00 retn 0C
005243BA \68 CBF64F00 push 004FF6CB ; ASCII "h釉L"
005243BF C3 retn ; 传统ASPack的OEP入口,现在好像被虚拟机保护了
-------------------------------------------------
004FF6CB 68 D3D44C00 push 004CD4D3 ; 传统OEP,现在没用了
004FF6D0 E8 D1230200 call 00521AA6
004FF6D5 2818 sub byte ptr [eax], bl
004FF6D7 0038 add byte ptr [eax], bh
004FF6D9 0C 8C or al, 8C
-------------------------------------------------
在传统OEP那里将内容DUMP出来,修复,果然是无法使用。。。
对这种混合壳,小弟确实是没办法了,哪位大哥知道这种壳要怎么脱,麻烦指点一下迷津,谢谢了。。。
软件地址:
f18K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8A6j5$3E0#2M7q4)9J5k6h3#2G2k6X3W2D9k6g2)9J5k6h3y4G2L8g2)9J5c8U0f1&6y4e0V1^5y4e0t1%4x3o6x3$3x3U0b7^5y4K6V1`.
先用Peid看一下,Peid显示是ASPack 2.12 -> Alexey Solodovnikov,看区段比一般ASPack多出个VMP0和VMP1的区段,应该是用VMProtect保护的区域了,之前没接触过VMProtect,不知道如何下手,先按普通的ASPack壳的方法试一下:
-----------------------------------------------
00524001 > 60 pushad
00524002 E8 03000000 call 0052400A ; ESP 定律
00524007 - E9 EB045D45 jmp 45AF44F7
0052400C 55 push ebp
0052400D C3 retn
------------------------------------------------
005243B0 /75 08 jnz short 005243BA
005243B2 |B8 01000000 mov eax, 1
005243B7 |C2 0C00 retn 0C
005243BA \68 CBF64F00 push 004FF6CB ; ASCII "h釉L"
005243BF C3 retn ; 传统ASPack的OEP入口,现在好像被虚拟机保护了
-------------------------------------------------
004FF6CB 68 D3D44C00 push 004CD4D3 ; 传统OEP,现在没用了
004FF6D0 E8 D1230200 call 00521AA6
004FF6D5 2818 sub byte ptr [eax], bl
004FF6D7 0038 add byte ptr [eax], bh
004FF6D9 0C 8C or al, 8C
-------------------------------------------------
在传统OEP那里将内容DUMP出来,修复,果然是无法使用。。。
对这种混合壳,小弟确实是没办法了,哪位大哥知道这种壳要怎么脱,麻烦指点一下迷津,谢谢了。。。
软件地址:
f18K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8A6j5$3E0#2M7q4)9J5k6h3#2G2k6X3W2D9k6g2)9J5k6h3y4G2L8g2)9J5c8U0f1&6y4e0V1^5y4e0t1%4x3o6x3$3x3U0b7^5y4K6V1`.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
高手们表路过了,指点一下吧,对于这种壳实在是太迷惑了。。。不知道从哪下手。。。
|
|
|
|
|
|
|
|
|
|
|
|
|
