利用CopyFileA让vmp壳本身自己把文件吐出来
自己写个dll注入到程序里面,如果比较懒,可以直接在od里面写代码,一样的,看到这个应该都懂了吧
图片.png (21 KB, 下载次数: 0)
下载附件
2020-10-14 16:54 上传
测试支持最新版3.5
看了一下,vmp会hook很多api,突然想到,如果软件本身要执行文件创建或者拷贝操作呢
所以自己写了个dll,知道封装的内存文件名字后,调用CopyFileA就顺利复制出来了
关于文件名,一般都是封装dll,那自然会加载,加载后od可以看到,或者LoadLibraryExW这些,可以看到加载的时候dll文件名
如果是其他不知道名字的,我就不会了,但是测试过txt,知道文件名也可以利用这个方法
图片.png (75.1 KB, 下载次数: 0)
下载附件
2020-10-14 16:48 上传
这个方法理论上对其他封装的都有效果,就是要知道文件名,测试The Enigma Protector也可以
我用的是win7 64虚拟机,xp系统测试没成功
,vmp 2.x好像不支持
最后给懒人们传个dll,自己修改里面的路径就行了
提取vmp封装文件.rar
(588 Bytes, 下载次数: 844)
2020-10-14 16:56 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB