VMProtect封装文件提取 提取vmp3.x封装的内存文件 加密壳封装文件提取支持3.6版本

查看 171|回复 9
作者:hszt   
方法,
利用CopyFileA让vmp壳本身自己把文件吐出来
自己写个dll注入到程序里面,如果比较懒,可以直接在od里面写代码,一样的,看到这个应该都懂了吧


图片.png (21 KB, 下载次数: 0)
下载附件
2020-10-14 16:54 上传

测试支持最新版3.5
看了一下,vmp会hook很多api,突然想到,如果软件本身要执行文件创建或者拷贝操作呢
所以自己写了个dll,知道封装的内存文件名字后,调用CopyFileA就顺利复制出来了
关于文件名,一般都是封装dll,那自然会加载,加载后od可以看到,或者LoadLibraryExW这些,可以看到加载的时候dll文件名
如果是其他不知道名字的,我就不会了,但是测试过txt,知道文件名也可以利用这个方法


图片.png (75.1 KB, 下载次数: 0)
下载附件
2020-10-14 16:48 上传

这个方法理论上对其他封装的都有效果,就是要知道文件名,测试The Enigma Protector也可以
我用的是win7 64虚拟机,xp系统测试没成功
,vmp 2.x好像不支持
最后给懒人们传个dll,自己修改里面的路径就行了

提取vmp封装文件.rar
(588 Bytes, 下载次数: 844)
2020-10-14 16:56 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB

文件, 文件名

hszt
OP
  


wtujoxk 发表于 2020-10-14 17:45
怎么使用,还是有点懵!

比如  c:\123\test.vmp.exe里面有个dll文件是  Code.dll
先用OD改我发的dll里面的路径 c:\123\ Code.dll保存
然后od加载test.vmp.exe运行,解码后暂停,然后用strongOD的注入dll功能加载我的dll,运行,就自动复制到C盘了
相信不久的将来会有人分析得到文件列表的方法,甚至写工具或者插件提取
hszt
OP
  

方法挺好,学习了。
wtujoxk   

来个测试样本?
hugh_dev   


朱朱你堕落了 发表于 2020-10-14 17:33
来个测试样本?

随便找个程序用vmp加壳,添加文件就行了
fangchang819   

怎么使用,还是有点懵!
fangchang819   

方法挺好,学习了。~
byh3025   

你太🐂了!
byh3025   

上面数字是牛的图片,不能显示出来。
byh3025   

你太牛了,赞了
您需要登录后才可以回帖 登录 | 立即注册

返回顶部