壳版本:VMProtect.Ultimate.2.12.3
样本:TKLobby.exe
目的:IAT修复
作者:MrWrong
标题:VMProtect修复导入表的插件
只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
严谨地说,本文所作的工作仅仅是在跑到VMP所保护的exe的OEP后,修复系统中LONG CALL 和 LONG JMP,还有一些MOV reg, [iat_addr]。插件实现根据原来发的一篇帖子:《探讨VMP 2.12.3 导入表修复》
链接:http://www.cnblogs.com/MrWrong/p/3640369.html
原来的帖子上在修复的细节上还有一点错误。
插件不太好用,所以搞了个exe程序作为例子,截几个关键的图。
用的exe是JJ比赛大厅:http://www.jj.cn
下了一个当前最新的版本JJmatch-ID4501562-ChildID-.exe
大厅程序名TKLobby.exe
先跑OEP。OEP为0043F3AA。
然后在代码窗口 右键->VMPIatRepair->修复IAT
点击后弹出一个叫作Dialog的窗口。对,窗口名居然就叫Dialog,还是个模态对话框。(太懒了,难搞)
在窗口里把数据填好。注意,是16进制的RVA,看图。
然后点确定,就完成了修复。
修复完,打开LOG窗口,发现里面有每个修复的call和jmp的地址信息(将原来的LONG JMP和LONG CALL 修复成了SHORT JMP和SHORT CALL)。
如图
接下来怎么办?看我的《探讨VMP 2.12.3 导入表修复》里说的来搞,不重复讲了。
其他版本的VMP你也可以试着用插件搞一下,搞不搞得定就全看你的脸了(其实我也不知道这个样本是哪个版本的VMP,全是因为脸好)。还有,目前不支持DLL的修复。
文件下载地址 http://files.cnblogs.com/files/MrWrong/VMProtect%E4%BF%AE%E5%A4%8D%E5%AF%BC%E5%85%A5%E8%A1%A8%E7%9A%84%E6%8F%92%E4%BB%B6.zip
百度云下载地址:链接:http://pan.baidu.com/s/1qWkNTt6 密码:iwk6 (百度云下载地址内有JJ比赛的安装程序)
最后特别感谢好友KeyKernel的帮助。独学而无友,则孤陋而寡闻。