本帖最后由 牛股三絕 于 2020-3-16 08:03
以通達(dá)信3月6日發(fā)布的金融終端V7.48為例,使用OEP的方法脫VMP殼���,當(dāng)然這個(gè)方法僅限于簡單加密的,復(fù)雜加密的這個(gè)方法不適用
所需要的工具下載地址��,請盡量去52和諧官方網(wǎng)站下:
用https替換://down.52pojie.cn/Tools/PEtools/Scylla.v.0.9.8.rar
用https替換://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E4%B8%93%E7%94%A8%E7%89%88Ollydbg.rar
1.把tdxw.exe拖入到OD,讓其正常運(yùn)行��;
2. 在OD界面 Ctrl + G����,會(huì)出現(xiàn)“輸入要跟隨的表達(dá)式”窗口,輸入00401000����,點(diǎn)OK,會(huì)跳轉(zhuǎn)到00401000代碼處���;
3. CTRL + B�����,在Hex處拷貝要查找的二進(jìn)制串:
64 A1 00 00 00 00 50 64 89 25 00 00 00 00 83 EC 68 53 56 57 89 65 E8 33 DB 89 5D FC 6A 02
確定后會(huì)跳轉(zhuǎn)008C86A7處����,往上5行也就是008C8698 (這個(gè)地方就是程序的入口點(diǎn)����,也就是常說的OEP,記住這個(gè)地址�����,后面會(huì)用到)
下面這段代碼是以前版本的OEP,所以聰明的人已經(jīng)猜到��,通達(dá)信程序����,它雖然有版本更新�,但是這個(gè)程序的入口點(diǎn)基本上不會(huì)變的,版本不同有些小的變化�,但總體還是那些代碼
0086FC68 >/$ 55 push ebp
0086FC69 |. 8BEC mov ebp,esp
0086FC6B |. 6A FF push -0x1
0086FC6D |. 68 207A8C00 push tdxw_dum.008C7A20
0086FC72 |. 68 F2FD8600 push tdxw_dum.0086FDF2 ; SE 處理程序安裝
0086FC77 |. 64:A1 0000000>mov eax,dword ptr fs:[0]
0086FC7D |. 50 push eax ; kernel32.BaseThreadInitThunk
0086FC7E |. 64:8925 00000>mov dword ptr fs:[0],esp
0086FC85 |. 83EC 68 sub esp,0x68
0086FC88 |. 53 push ebx
0086FC89 |. 56 push esi
0086FC8A |. 57 push edi
0086FC8B |. 8965 E8 mov [local.6],esp
0086FC8E |. 33DB xor ebx,ebx
0086FC90 |. 895D FC mov [local.1],ebx
0086FC93 |. 6A 02 push 0x2
0086FC95 |. FF15 A4C38900 call dword ptr ds:[0x89C3A4]
4. 此時(shí)不能直接脫,在OD那行功能鍵點(diǎn)兩個(gè)連續(xù)黑色左箭頭�,也就是讓OD重新載入tdxw.exe,會(huì)回到圖一的那個(gè)界面�;CTRL+G,出現(xiàn) 輸入要跟隨的表達(dá)式���,在最上面那個(gè)框�����,這里應(yīng)該有第一次輸入的 00401000�,用008C8698 替換�,點(diǎn)OK
5. 選中008C8698這行,在開頭處鼠標(biāo)右鍵,找到 斷點(diǎn) 然后選擇 內(nèi)存訪問��,連續(xù)兩次 F9����,程序應(yīng)該會(huì)在008C8698處中斷下來;
6. 打開scylla_x86.exe��,在最上面下拉單選擇 tdxw.exe (就是通達(dá)信程序的這個(gè)process)���,然后在 OEP 處輸入剛才的那個(gè)地址�����,點(diǎn) IAT Autosearch�����,會(huì)出現(xiàn)IAT found 這個(gè)窗口��,點(diǎn)確定���;然后點(diǎn)IAT Autosearch下面的 Get Imports。
7����,在scylla_x86 點(diǎn)擊 Dump 按鈕���,會(huì)彈出窗口讓你保存文件,我們使用默認(rèn)名tdxw_dump�����,點(diǎn)確定即可�����,然后再點(diǎn)擊 Fix Dump 按鈕����,會(huì)彈出窗口�����,找到和選中剛才保存的 tdxw_dump文件��,點(diǎn) 打開 后程序會(huì)在通達(dá)信目錄下生成 TdxW_dump_SCY.exe 文件
8. 使用查殼工具檢測�����,已經(jīng)成功把殼脫掉了。當(dāng)然這個(gè)脫殼的版本會(huì)保留vmp殘留的垃圾文件�,但不會(huì)影響程序的運(yùn)行。如果雙擊�,會(huì)提示 “執(zhí)行文件出錯(cuò)”,需要把TdxW_dump_SCY.exe 改成 tdxw.exe
剩下的�,就看各位的本事了。
|
