vMix的24版本和以前一样,都使用了Babel的混淆。
这里使用de4dot进行反混淆
image.png (11.55 KB, 下载次数: 0)
下载附件
2021-8-4 10:39 上传
操作后我们发现启动程序提示程序被修改了,于是使用dnspy打开进行详细查看。
定位到ezzzzzb类,再往下到zy.d,发现载入在zy.a中。
分析后发现,在解了13层循环的加密后:
image.png (52.69 KB, 下载次数: 0)
下载附件
2021-8-4 10:41 上传
程序很巧妙的使用了源程序的前64个byte做密钥。
这里我将其解压出来,然后直接修改源程序为读取最终的dll。
image.png (16.99 KB, 下载次数: 0)
下载附件
2021-8-4 10:43 上传
这样就可以正常启动反混淆的程序了。
这里附上仅进行了反混淆和解密的文件,此文件未进行破解,供学习使用。
vMix-onlyCleanedPatched.zip
(1.64 MB, 下载次数: 41)
2021-8-4 10:47 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB
后续还在继续研究,这个版本埋的各种坑非常多==
PatchedException.zip
(1.55 MB, 下载次数: 43)
2021-8-4 18:51 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB
这个版本是移除了pzzzzzt中的UC(UpdateCheck)校验并输出了部分异常详情的vMix版本。
EC的加密太复杂了,目前我在思考用老版本的EC绕过去。但是目前还没有成功。使用老的EC库,打开设置界面就会开始报错。
