首页
论坛
课程
招聘
[原创]MPRESS v2.12脱壳分析
2019-10-8 21:10 11937

[原创]MPRESS v2.12脱壳分析

2019-10-8 21:10
11937
平时喜欢下棋,发现某某名手软件感觉挺好用的样子,想学习一下用什么软件开发的,用ExeInfo PE 查看一下,发现是MPRESS v2.12^ -> [ v2.19 ] - MATCODE comPRESSor for executables (C) 2007,2010, MATCODE Software - www.matcode.com,这个壳的,好像之前没有接触过,查了一下网上,已经有前辈脱过了,自己走一遍吧,记录一下过程。


虚拟机运行看看,哇塞,不让运行

没有办法,照样脱。

OD载入:
 
下断点 BP VirtualProtectEx ,  Shift+F9 二次,因为 三次就跑飞了,Alt+F9一次,达到004B883F,看到了  GetModuleHandelA 函数了,


继续,往下看找到了 popad了,哇塞,运气太好了,直接下断点 004B889A,按F9,F8 2次进到入口,
OEP 00492846


OEP: OEP 00492846




赶快DUMP下来,接下了就说常规操作,










FIX DUMP,运行OK了。 

原来是 Microsoft Visual C++ ver. 7.1 EXE  (3 bytes sign - easy to fake) 这个写的。

接下来继续分析代码,等待后续。


[注意] 欢迎加入看雪团队!base上海,招聘CTF安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

收藏
点赞1
打赏
分享
最新回复 (8)
雪    币: 15657
活跃值: 活跃值 (3405)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ninebell 活跃值 2019-10-8 21:45
2
0
AHK 转 EXE 就一般用这个加壳后编译输出 
雪    币: 59
活跃值: 活跃值 (500)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zbzb 活跃值 2019-10-8 22:07
3
0
印象中名手都是加的vmp吧……
雪    币: 242
活跃值: 活跃值 (402)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
yiting 活跃值 2019-10-9 08:26
4
0
AHK 是何方神圣?
雪    币: 14752
活跃值: 活跃值 (23625)
能力值: (RANK:75 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2019-10-9 09:35
5
0
感谢分享!
雪    币: 12632
活跃值: 活跃值 (1477)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
白菜大哥 活跃值 2019-10-9 12:05
6
0
现在的分析帖,都不分析,直接一个bp virtualProtect就出来了。。。
雪    币: 1418
活跃值: 活跃值 (778)
能力值: (RANK:250 )
在线值:
发帖
回帖
粉丝
xiaohang 活跃值 3 2019-10-11 21:08
7
0
是啊,内容潦草了点
雪    币: 180
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Seely 活跃值 2020-8-3 14:33
8
0
yiting AHK 是何方神圣?
AHK=AutoHotKey是一门开源的热键脚本语言
雪    币: 271
活跃值: 活跃值 (83)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
时间的伤 活跃值 2020-10-15 10:27
9
0
不知道为啥,脱壳这里的大佬们总是不上传附件
游客
登录 | 注册 方可回帖
返回