网站 › ≮ 脱壳求助 ≯ › VMP的求助 希望大侠帮下忙？？？？感谢 3Q 膜拜

samson357 发表于 2010-2-22 14:50:37

VMP的求助 希望大侠帮下忙？？？？感谢 3Q 膜拜

目标是一个dll，是一个游戏程序的扩展非外挂。游戏我有但是苦于不会写这个副本。所以想脱了壳自己接入游戏。麻烦大侠们帮下手。指导下小弟   看看哪里错误了？顺便告诉下下一步怎么做膜拜大侠们？
附件地址：
点击进入下载－W.rar

OD载入 F8跟到这里VirtualProtect下断F2F9运行3次打开内存M    WzAg的testF2下断 F9运行 然后找虚拟释放一直F7


118B4D55    FF7424 1C       push dword ptr ss:
118B4D59    9D            popfd
118B4D5A    FF7424 04       push dword ptr ss:
118B4D5E    FF7424 24       push dword ptr ss:
118B4D62    C2 2800         retn 28                                  ;// 我估计的虚拟释放？？对否
118B4D65    9C            pushfd
118B4D66    9C            pushfd



下断F2F9运行 然后打开内存M    WzAg的test下断F2F9运行



10017F38|.E8 C0EB8A01   call WzAg.118C6AFD
10017F3D|.90            nop
10017F3E|.8B75 FC       mov esi,
10017F41|.3375 F8       xor esi,
10017F44|.E8 E0A88B01   call WzAg.118D2829
10017F49|.90            nop                                    ;到这里了就不知道怎么找OEP了？
10017F4A|.33F0          xor esi,eax
10017F4C|.E8 EBD48901   call WzAg.118B543C
10017F51|.90            nop
10017F52|.33F0          xor esi,eax
10017F54|.E8 DDD58901   call WzAg.118B5536
10017F59|.90            nop



我估计的OEP是

10017F92|.5E            pop esi
10017F93|>5F            pop edi
10017F94|.5B            pop ebx
10017F95|.C9            leave
10017F96\.C3            retn
10017F97   $55            push ebp                                 ;OEP????????我估计的
10017F98   .8BEC          mov ebp,esp
10017F9A   .83EC 20       sub esp,20
10017F9D   .53            push ebx
10017F9E   .56            push esi
10017F9F   .57            push edi
10017FA0   .E8 B67CFFFF   call WzAg.1000FC5B
10017FA5   .33DB          xor ebx,ebx
10017FA7   .391D 54B48911 cmp dword ptr ds:,ebx




之后我尝试了下OD载入直接查看字符串和运行到的字符串对照了下发觉差距

脱壳到这里的字符串：
超级字串参考
地址       反汇编                                    文本字串
1001E825   db C7                                     行
1001E857   mov dword ptr ds:,WzAg.10021C6C      行
1001F030   push WzAg.1001F0D0                        h
1001F0B0   mov dword ptr ds:,WzAg.1002109@^
1001F0D0   push WzAg.10027800                        \n



OD载入直接运行的字符串：


1001E825   db C7                                     行
1001E857   mov dword ptr ds:,WzAg.10021C6C      行
1001F030   push WzAg.1001F0D0                        h
1001F03C   mov ecx,WzAg.1189B4CC                     <
1001F052   mov ecx,WzAg.1189B508                     ,
1001F0B0   mov dword ptr ds:,WzAg.1002109@^
1001F0D0   push WzAg.10027800                        \n
1001F0DC   mov ecx,WzAg.1189B4CC                     <
1001F0E6   mov ecx,WzAg.1189B508                     ,




发觉多了：
1001F03C   mov ecx,WzAg.1189B4CC                     <
1001F052   mov ecx,WzAg.1189B508                     ,
1001F0DC   mov ecx,WzAg.1189B4CC                     <
1001F0E6   mov ecx,WzAg.1189B508                     ,


之后就一直迷惘了？麻烦大侠指导下？DLL貌似要重定位不知咋弄可以指导下吗？上传下原文件还有小弟的脱出来的

老万 发表于 2010-2-22 18:58:27

希望Kissy能出来帮忙？

samson357 发表于 2010-2-22 21:46:21

我也希望啊~~~~~~~~~~~~亲爱的kissy出来啊

samson357 发表于 2010-3-2 21:05:27

哎~~~~~~~发了这么久没人给点提示

伏牛山 发表于 2010-3-9 04:45:27

我做了一个教程,或许对你会有所帮助...在黑吧的主页>会员作品>手工脱vmp脱壳方法

samson357 发表于 2010-3-11 16:31:31

回复 5# 伏牛山 的帖子

谢谢这位大哥可以给个地址吗？？？？？？

查看完整版本: VMP的求助 希望大侠帮下忙？？？？感谢 3Q 膜拜