元旦Happy~ 巧过VMP包裹的 Flash搅拌器 4

Nisy

貌似是VMP做的保护 不懂壳 在某人的威逼下瞎调试呗

简单写一下方法 有兴趣的可以自己研究下 ~~

VMP 很强大 但是只要知道怎么用才能真正的强大

程序启动的时候有一个NAG的 这个NAG里边和外边都被包裹了 因为这个VMP的版本低（我提醒作者升级了~） 所以修改起来不是很费劲

程序的启动NAG在一个dll里边 系统文件夹下 把安装程序拆包也可以看到了

第一步：过NAG

0040ECFC   .  50            PUSH EAX
0040ECFD      8B41 1C       MOV EAX,DWORD PTR DS:[ECX+1C]            ;  add esp,0c
0040ED00      FFD0          CALL EAX                                 ;  xor eax,eax
0040ED02   .  85C0          TEST EAX,EAX
0040ED04   .  7D 5C         JGE SHORT FlashJoi.0040ED62              ;  JMP
0040ED06   .  68 E4D24500   PUSH FlashJoi.0045D2E4
0040ED0B   .  57            PUSH EDI
0040ED0C   .  50            PUSH EAX
0040ED0D   .  E8 2EED0300   CALL FlashJoi.0044DA40                    ; 这里去调用那个dll 完事出NAG 我们把这里做掉
0040ED12   >  8B4424 30     MOV EAX,DWORD PTR SS:[ESP+30]
0040ED16   .  8B08          MOV ECX,DWORD PTR DS:[EAX]
0040ED18   .  8B51 08       MOV EDX,DWORD PTR DS:[ECX+8]
0040ED1B   .  50            PUSH EAX
0040ED1C   .  FFD2          CALL EDX
0040ED1E   .  8D4C24 18     LEA ECX,DWORD PTR SS:[ESP+18]
0040ED22   .  C68424 B80A00>MOV BYTE PTR SS:[ESP+AB8],1
0040ED2A   .  FF15 AC594500 CALL DWORD PTR DS:[<&MFC80U.#577>]       ;  MFC80U.#578
0040ED30   .  8D4424 4C     LEA EAX,DWORD PTR SS:[ESP+4C]
0040ED34   .  50            PUSH EAX
0040ED35   .  E8 065AFFFF   CALL FlashJoi.00404740
0040ED3A   .  8D4C24 4C     LEA ECX,DWORD PTR SS:[ESP+4C]
0040ED3E   .  C68424 B80A00>MOV BYTE PTR SS:[ESP+AB8],4
0040ED46   .  894E 20       MOV DWORD PTR DS:[ESI+20],ECX
0040ED49   .  E8 80D30300   CALL <JMP.&MFC80U.#2011>
0040ED4E   .  8D5424 4C     LEA EDX,DWORD PTR SS:[ESP+4C]
0040ED52   .  52            PUSH EDX
0040ED53   .  C68424 BC0A00>MOV BYTE PTR SS:[ESP+ABC],1
0040ED5B   .  E8 B061FFFF   CALL FlashJoi.00404F10
0040ED60   .  EB 71         JMP SHORT FlashJoi.0040EDD3
0040ED62   >  8B4C24 20     MOV ECX,DWORD PTR SS:[ESP+20]
0040ED66   .  51            PUSH ECX
0040ED67   .  8D4C24 28     LEA ECX,DWORD PTR SS:[ESP+28]
0040ED6B   .  FF15 C4594500 CALL DWORD PTR DS:[<&MFC80U.#283>]       ;  MFC80U.#6735
0040ED71   .  8B5424 20     MOV EDX,DWORD PTR SS:[ESP+20]
0040ED75   .  52            PUSH EDX
0040ED76   .  FF15 5C5B4500 CALL DWORD PTR DS:[<&OLEAUT32.#6>]       ;  OLEAUT32.SysFreeString
0040ED7C   .  8B4424 24     MOV EAX,DWORD PTR SS:[ESP+24]
0040ED80   .  50            PUSH EAX
0040ED81   .  8D4C24 1C     LEA ECX,DWORD PTR SS:[ESP+1C]
0040ED85   .  FF15 9C524500 CALL DWORD PTR DS:[<&MFC80U.#1476>]      ;  MFC80U.#1476
0040ED8B   .  85C0          TEST EAX,EAX
0040ED8D      75 15         JNZ SHORT FlashJoi.0040EDA4              ;  NOP
0040ED8F   .  394424 34     CMP DWORD PTR SS:[ESP+34],EAX
0040ED93      74 0F         JE SHORT FlashJoi.0040EDA4               ;  NOP
0040ED95   .  8D4C24 24     LEA ECX,DWORD PTR SS:[ESP+24]
0040ED99   .  FF15 AC594500 CALL DWORD PTR DS:[<&MFC80U.#577>]       ;  MFC80U.#578
0040ED9F   .^ E9 6EFFFFFF   JMP FlashJoi.0040ED12

第二步：去掉水印

这样程序就启动起来了 程序有一些MD的效检 得处理下

程序跑起来之后 就是那个水印了 我们要把水印搞掉 因为之前搞过太多类似的东东的 什么BT的 这个那个的 最后都拿掉了 这个也不是很怕

水印在某个swf文件中 直接去掉


第三步：干掉效检查

程序在保护swf水印文件上 是下了大功夫的 ~~

MD5 检测：

00413A44  |.  E8 36930300   CALL FlashJoi.0044CD7F
00413A49  |.  81C4 10010000 ADD ESP,110                              ;  MD5
00413A4F  \.  C3            RETN

恩 程序就跑不了了 自己得修改下

还有一个就比较简单了 程序自身的效检 在某个dll中


这样就随便咔嚓了这个软件了 当然还有其他的方法 这里就简直是襁褓了一样 有兴趣的可以玩下

yyxljy

支持  学习下    元旦Happy~ ！

GGLHY

学习下！
新年happy！

月之精灵

元旦快乐，进来学习也快乐哈

lgjxj

元旦快乐，有武器在手却不会用真要命

shaokui123

支持，这个壳讲的很少

zykissyan

NISY大牛.好文,思路清晰.

cjteam

/:014N大真是强大，一玩就PASS一个

ahyanglf

调试的很精彩啊

兔小样

/:002这个是我的，是我发现的！小狗！