VMProtect修复导入表的插件
壳版本:VMProtect.Ultimate.2.12.3
样本:TKLobby.exe
目的:IAT修复
作者:MrWrong
标题:VMProtect修复导入表的插件
只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
严谨地说,本文所作的工作仅仅是在跑到VMP所保护的exe的OEP后,修复系统中LONG CALL 和 LONG JMP,还有一些MOV reg, [iat_addr]。插件实现根据原来发的一篇帖子:《探讨VMP 2.12.3 导入表修复》
链接:http://www.cnblogs.com/MrWrong/p/3640369.html
原来的帖子上在修复的细节上还有一点错误。
插件不太好用,所以搞了个exe程序作为例子,截几个关键的图。
用的exe是JJ比赛大厅:http://www.jj.cn
下了一个当前最新的版本JJmatch-ID4501562-ChildID-.exe
大厅程序名TKLobby.exe
先跑OEP。OEP为0043F3AA。
然后在代码窗口 右键->VMPIatRepair->修复IAT
点击后弹出一个叫作Dialog的窗口。对,窗口名居然就叫Dialog,还是个模态对话框。(太懒了,难搞)
在窗口里把数据填好。注意,是16进制的RVA,看图。
然后点确定,就完成了修复。
修复完,打开LOG窗口,发现里面有每个修复的call和jmp的地址信息(将原来的LONG JMP和LONG CALL 修复成了SHORT JMP和SHORT CALL)。
如图
接下来怎么办?看我的《探讨VMP 2.12.3 导入表修复》里说的来搞,不重复讲了。
其他版本的VMP你也可以试着用插件搞一下,搞不搞得定就全看你的脸了(其实我也不知道这个样本是哪个版本的VMP,全是因为脸好)。还有,目前不支持DLL的修复。
文件下载地址 http://files.cnblogs.com/files/MrWrong/VMProtect%E4%BF%AE%E5%A4%8D%E5%AF%BC%E5%85%A5%E8%A1%A8%E7%9A%84%E6%8F%92%E4%BB%B6.zip
百度云下载地址:链接:http://pan.baidu.com/s/1qWkNTt6 密码:iwk6 (百度云下载地址内有JJ比赛的安装程序)
最后特别感谢好友KeyKernel的帮助。独学而无友,则孤陋而寡闻。
转载于:https://www.cnblogs.com/MrWrong/p/4642654.html
VMProtect修复导入表的插件相关推荐
- pe结构分析之手工修复导入表
目录 预备知识 实验目的 实验环境 实验步骤一 实验步骤二 实验步骤三 预备知识 本实验要求实验者具备如下的相关知识. 1.加密外壳中,破坏原程序的输入表是很关键的一步.在脱壳中,需要脱壳者对于pe格 ...
- 进程导入表修复工具——Universal Import Fixer
知名的进程导入表修复工具,最近在学习VMP脱壳,用到了该工具,记录分享一下. 这个工具的功能是:根据进程代码段对API的调用,为进程重建一个导入表. 下载 非开源 很多地方可以下载到,这里分享一个cs ...
- jQuery验证表单插件——jquery-validation
jQuery验证表单插件--jquery-validation The jQuery Validation Plugin provides drop-in validation for your ex ...
- 写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc)
系列汇总 写一个PE的壳_Part 1:加载PE文件到内存 写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc) 写一个PE的壳_Part 3:Section里实 ...
- 移动导入表/导入表注入(注入导入表后EXE无法运行的BUG解决方案)
移动导入表其实不难,只需要while循环一下导入表并使用memcpy()拷贝到新加的节当中. 核心的代码如下,新增节和其他解析PE文件的最基础的东西发在最后的完整代码里. pImport_Temp = ...
- 滴水逆向三期实践16:IAT表和导入表
IAT表 在我们调用 dll 函数的时候,发现代码中的汇编,是通过间接寻址的.也就是不直接 call 函数地址,而是通过一个中间地址再跳转的. 比如调用MessageBox这类系统函数的时候(这也是个 ...
- PE格式:导入表与IAT内存修正
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修 ...
- C/C++ 导入表与IAT内存修正
本章教程中,使用的工具是上次制作的PE结构解析器,如果还不会使用请先看前一篇文章中对该工具的介绍,本章节内容主要复习导入表结构的基础知识点,并通过前面编写的一些小案例,实现对内存的转储与导入表的脱壳修 ...
- C/C++ 手工实现IAT导入表注入劫持
DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入表,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入表中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入 ...
- Mysql修复损坏表并写脚本自动修复
mysql 进程在一个写入中被杀死.计算机意外关闭.硬件错误都能造成mysql表损坏 . mysql 修复表的各种方法 1.mysqlcheck 进行表修复 使用mysqlcheck 命令对表进行修复 ...
最新文章
- sql唯一约束怎么设置_20200923 SQL UNIQUE 约束
- autofac JSON文件配置
- python术语中英对照栈图_Python常用技术栈总结
- 退休当月要干到月底吗_在一线城市交社保那么多年,退休后到底在哪领养老金,要回老家吗?...
- 3529: [Sdoi2014]数表 - BZOJ
- 与大数据同行—学习和教育的未来 - 电子书下载(高清版PDF格式+EPUB格式)
- 解决:地址 localhost:8080 已在使用中
- HTTP的options方法作用
- 基于聚类算法的城市餐饮数据分析与店铺选址
- 使用RX方式模拟DoubanFm的登陆
- 鼠标悬停显示滚动条,移出不显示
- 线性规划和对偶规划学习总结
- c语言程序图书检索源代码,C语言程序设计(图书管理系统)源代码 倾情奉献
- What?一周内咸鱼疯转2.4W次,最终被封杀!
- java 调用matlab rank_科学网—Matlab: X is rank deficient - 李旭的博文
- 7-3 打印学生选课清单 (25分)
- 蓝牙透传模块HC-08使用教程与简单应用
- C++ windows 创建快方式
- Windows、Mac chrome 谷歌 浏览器 恢复 上次浏览网页
- CSS过渡,转换与动画