他乡_04

Posted 2020-07-27 DebugSkill

【00:38】PEiD显示：节 vmp0/vmp1/vmp2 证明 这个壳的版本还比较高，有3个VMP段，保护比较强烈

【01:28】die_0[1].64.rar

　　【01:38】软件标题：“Detect it Easy 0.64”

　　　　【01:43】这个是Delphi的 (没有显示具体是 哪个版本的Delphi)

　　　　【01:47】这个是 VC (没有显示具体是 哪个版本的VC)　【01:52】VC6.0的 (ZC: 是通过 "LinkerInfo"的信息是"6.0"，得出是VC6.0吗？)，证明这个 VS

软件 是VC写的

 

【02:12】VMP的高版本，1.6x~1.7x 或者 到1.8x之间的某个版本，但是我们不能确认。

【02:40】打开 exeinfo 查看，VMP的版本 (ZC: 但是录像里面没有显示exeinfo的界面...也不知道视频中使用的是 exeinfo 的那个版本...只知道 exe的名字是 exeinfope.exe) : 1.6x~2.030之间

【02:53】"FileScanner 3"，显示 1.704，证明它 这个不准确

【03:00】PEiD显示 有3个VMP段，它和我们之前讲的 VMP1.704 和 VMP1.6x 不一样，它又多了一个VMP段。而且它难度要高很多

 

【03:25】放入OD。现在开始 就要调试猛壳了，要设置好OD

　　【03:35】OD-->插件-->PhantOn-->Options -->"Protect DRx"是勾上的 --> SAVE

　　【03:43】OD-->插件-->StrongOD-->Options --> 有6个"√"，"CreateProcess Options" 选择"Normal"--> Save

　　【03:47】OD-->选项-->调试设置-->事件-->"设置第一次暂停于" 选择 "系统断点"--> 确定

【03:50】开始OD调试

　　【03:55】F9一下直接，OD提示信息"... ... 您仍要继续分析吗？" 视频中选择的是"是(Y)" (ZC: 选这个有点出乎我意料...)

　　【04:05】断下来了 ==> 反汇编窗口 --> 右击 --> 分析 --> 从模块中删除分析　【04:12】从这个情况可以知道，这个大约是 1.6x~1.704之间的版本，VMP全保护吧可能，VMP比较厉害。

　　【04:27】用这个断点 VirtualProtect，内存保护断点，对它进行下断 ==> Ctrl+G 输入 "VirtualProtect" --> 在找到的地方 F2 --> F9运行 10次 看到 VirtualProtect的参数Address是VSClient.00596000，运行到这里之后 它就是一个很好的返回时机。【04:55】为什么将这里确认为返回时机呢？我们看一下，9个段 (ZC: 是10个段吧...)，最可以的段 就在vmp1里面，vmp2里面 它是SFX 它是 固定代码 输入，∴ 我们选择在00596000这个地方 为返回时机。--> 【05:28】F2取消断点 --> "内存映射"界面，00401000处设置 "在访问上设置断点 F2"

C