首页
论坛
课程
招聘
[原创]弄掉VMP某个版本的CRC
2020-3-7 09:50 5616

[原创]弄掉VMP某个版本的CRC

2020-3-7 09:50
5616
因为给一个程序打启动补丁,之前这个程序没加壳,现在加壳了,区段为vmp1,打启动补丁会被crc,所以试着弄了一下,发现挺简单的

程序拖入OD,然后找到要patch的位置,我要修改这个call

下个访问断点,重新开始,会停下来

停在这里以后,发现,ecx为扫描的地址,esi为储存代码的寄存器,每次扫描一次字节
这时候,我们patch那个call,然后将esi修改为patch前的字节数据,运行起来,发现crc并没有扫到我们的patch
于是构造一个shellcode对代码进行hook
039B0000 - movzx esi,byte ptr [ecx]
039B0003 - push eax
039B0004 - pushfd 
039B0005 - mov eax,xxxxxx.dll+5B5CE	
039B000A - cmp eax,ecx
039B000C - jne 039B0013
039B000E - mov esi,00000020
039B0013 - add eax,01
039B0016 - cmp eax,ecx
039B0018 - jne 039B001F
039B001A - mov esi,0000002A
039B001F - add eax,01
039B0022 - cmp eax,ecx
039B0024 - jne 039B002B
039B0026 - mov esi,00000005
039B002B - add eax,01
039B002E - cmp eax,ecx
039B0030 - jne 039B0037
039B0032 - mov esi,00000000
039B0037 - popfd 
039B0038 - pop eax
039B0039 - xor esi,eax
039B003B - jmp xxxxxx.dll+8809D4

因为我patch四个字节,所以我只加了四个cmp,代码写的可能不是最好的,但是逻辑一眼就可以看懂
最后的效果如下


汇编代码,相信有点基础的都可以看懂,我也就不过多的说了
可能帖子的内容不太符合时代,但是我也是第一次解除壳的crc,没写好或者有建议或者想补充请评论。

《0day安全 软件漏洞分析技术(第二版)》第三次再版印刷预售开始!

最后于 2020-3-7 09:51 被刘铠文编辑 ,原因:
收藏
点赞2
打赏
分享
最新回复 (9)
雪    币: 217
活跃值: 活跃值 (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
icoon 活跃值 2020-3-7 10:42
2
0
能出一个详细的演示视频么,如何定位具体位置的?
雪    币: 2251
活跃值: 活跃值 (30)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
刘铠文 活跃值 2020-3-7 10:52
3
0
icoon 能出一个详细的演示视频么,如何定位具体位置的?
给patch位置下访问断点,没有什么复杂的
雪    币: 197
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
HmbGK 活跃值 2020-3-8 15:49
4
0
非常棒    很透彻
雪    币: 55
活跃值: 活跃值 (177)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
killpy 活跃值 2 2020-3-8 20:21
5
0
牛逼
雪    币: 222
活跃值: 活跃值 (65)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
云才哥 活跃值 2020-3-11 00:50
6
0
感觉云里雾里
雪    币: 5812
活跃值: 活跃值 (468)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
黑洛 活跃值 1 2020-9-20 21:39
7
0
云才哥 感觉云里雾里
lz的意思很简单啊,构造一个中转的代码块,给vmp的crc函数未被修改的值。
雪    币: 234
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
klxmy 活跃值 2020-9-20 22:31
8
0
怎么一看不像 VMP 呢?
雪    币: 1002
活跃值: 活跃值 (224)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
东京不热 活跃值 2020-9-21 00:54
9
0
背景用的什么插件
雪    币: 207
活跃值: 活跃值 (114)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
寻她梦 活跃值 2020-9-21 12:38
10
0
如果能一次过掉所有的就香了
游客
登录 | 注册 方可回帖
返回