Nisy 发表于 2011-1-2 12:04:57

元旦Happy~ 巧过VMP包裹的 Flash搅拌器 4

貌似是VMP做的保护 不懂壳 在某人的威逼下瞎调试呗

简单写一下方法 有兴趣的可以自己研究下 ~~

VMP 很强大 但是只要知道怎么用才能真正的强大

程序启动的时候有一个NAG的 这个NAG里边和外边都被包裹了 因为这个VMP的版本低(我提醒作者升级了~) 所以修改起来不是很费劲

程序的启动NAG在一个dll里边 系统文件夹下 把安装程序拆包也可以看到了

第一步:过NAG

0040ECFC   .50            PUSH EAX
0040ECFD      8B41 1C       MOV EAX,DWORD PTR DS:            ;add esp,0c
0040ED00      FFD0          CALL EAX                                 ;xor eax,eax
0040ED02   .85C0          TEST EAX,EAX
0040ED04   .7D 5C         JGE SHORT FlashJoi.0040ED62            ;JMP
0040ED06   .68 E4D24500   PUSH FlashJoi.0045D2E4
0040ED0B   .57            PUSH EDI
0040ED0C   .50            PUSH EAX
0040ED0D   .E8 2EED0300   CALL FlashJoi.0044DA40                  ; 这里去调用那个dll 完事出NAG 我们把这里做掉
0040ED12   >8B4424 30   MOV EAX,DWORD PTR SS:
0040ED16   .8B08          MOV ECX,DWORD PTR DS:
0040ED18   .8B51 08       MOV EDX,DWORD PTR DS:
0040ED1B   .50            PUSH EAX
0040ED1C   .FFD2          CALL EDX
0040ED1E   .8D4C24 18   LEA ECX,DWORD PTR SS:
0040ED22   .C68424 B80A00>MOV BYTE PTR SS:,1
0040ED2A   .FF15 AC594500 CALL DWORD PTR DS:[<&MFC80U.#577>]       ;MFC80U.#578
0040ED30   .8D4424 4C   LEA EAX,DWORD PTR SS:
0040ED34   .50            PUSH EAX
0040ED35   .E8 065AFFFF   CALL FlashJoi.00404740
0040ED3A   .8D4C24 4C   LEA ECX,DWORD PTR SS:
0040ED3E   .C68424 B80A00>MOV BYTE PTR SS:,4
0040ED46   .894E 20       MOV DWORD PTR DS:,ECX
0040ED49   .E8 80D30300   CALL <JMP.&MFC80U.#2011>
0040ED4E   .8D5424 4C   LEA EDX,DWORD PTR SS:
0040ED52   .52            PUSH EDX
0040ED53   .C68424 BC0A00>MOV BYTE PTR SS:,1
0040ED5B   .E8 B061FFFF   CALL FlashJoi.00404F10
0040ED60   .EB 71         JMP SHORT FlashJoi.0040EDD3
0040ED62   >8B4C24 20   MOV ECX,DWORD PTR SS:
0040ED66   .51            PUSH ECX
0040ED67   .8D4C24 28   LEA ECX,DWORD PTR SS:
0040ED6B   .FF15 C4594500 CALL DWORD PTR DS:[<&MFC80U.#283>]       ;MFC80U.#6735
0040ED71   .8B5424 20   MOV EDX,DWORD PTR SS:
0040ED75   .52            PUSH EDX
0040ED76   .FF15 5C5B4500 CALL DWORD PTR DS:[<&OLEAUT32.#6>]       ;OLEAUT32.SysFreeString
0040ED7C   .8B4424 24   MOV EAX,DWORD PTR SS:
0040ED80   .50            PUSH EAX
0040ED81   .8D4C24 1C   LEA ECX,DWORD PTR SS:
0040ED85   .FF15 9C524500 CALL DWORD PTR DS:[<&MFC80U.#1476>]      ;MFC80U.#1476
0040ED8B   .85C0          TEST EAX,EAX
0040ED8D      75 15         JNZ SHORT FlashJoi.0040EDA4            ;NOP
0040ED8F   .394424 34   CMP DWORD PTR SS:,EAX
0040ED93      74 0F         JE SHORT FlashJoi.0040EDA4               ;NOP
0040ED95   .8D4C24 24   LEA ECX,DWORD PTR SS:
0040ED99   .FF15 AC594500 CALL DWORD PTR DS:[<&MFC80U.#577>]       ;MFC80U.#578
0040ED9F   .^ E9 6EFFFFFF   JMP FlashJoi.0040ED12

第二步:去掉水印

这样程序就启动起来了 程序有一些MD的效检 得处理下

程序跑起来之后 就是那个水印了 我们要把水印搞掉 因为之前搞过太多类似的东东的 什么BT的 这个那个的 最后都拿掉了 这个也不是很怕

水印在某个swf文件中 直接去掉


第三步:干掉效检查

程序在保护swf水印文件上 是下了大功夫的 ~~

MD5 检测:

00413A44|.E8 36930300   CALL FlashJoi.0044CD7F
00413A49|.81C4 10010000 ADD ESP,110                              ;MD5
00413A4F\.C3            RETN

恩 程序就跑不了了 自己得修改下

还有一个就比较简单了 程序自身的效检 在某个dll中


这样就随便咔嚓了这个软件了 当然还有其他的方法 这里就简直是襁褓了一样 有兴趣的可以玩下



yyxljy 发表于 2011-1-2 13:48:44

支持学习下    元旦Happy~ !

GGLHY 发表于 2011-1-2 15:49:39

学习下!
新年happy!

月之精灵 发表于 2011-1-2 16:41:55

元旦快乐,进来学习也快乐哈

lgjxj 发表于 2011-1-2 22:15:05

元旦快乐,有武器在手却不会用真要命

shaokui123 发表于 2011-1-4 21:39:28

支持,这个壳讲的很少

zykissyan 发表于 2011-1-5 10:58:56

NISY大牛.好文,思路清晰.

cjteam 发表于 2011-1-5 22:42:13

/:014N大真是强大,一玩就PASS一个

ahyanglf 发表于 2011-1-6 18:56:49

调试的很精彩啊

兔小样 发表于 2011-1-6 22:40:58

/:002这个是我的,是我发现的!小狗!
页: [1] 2
查看完整版本: 元旦Happy~ 巧过VMP包裹的 Flash搅拌器 4