【00:38】PEiD显示:节 vmp0/vmp1/vmp2 证明 这个壳的版本还比较高,有3个VMP段,保护比较强烈
【01:28】die_0[1].64.rar
【01:38】软件标题:“Detect it Easy 0.64”
【01:43】这个是Delphi的 (没有显示具体是 哪个版本的Delphi)
【01:47】这个是 VC (没有显示具体是 哪个版本的VC) 【01:52】VC6.0的 (ZC: 是通过 "LinkerInfo"的信息是"6.0",得出是VC6.0吗?),证明这个 VS
软件 是VC写的
【02:12】VMP的高版本,1.6x~1.7x 或者 到1.8x之间的某个版本,但是我们不能确认。
【02:40】打开 exeinfo 查看,VMP的版本 (ZC: 但是录像里面没有显示exeinfo的界面...也不知道视频中使用的是 exeinfo 的那个版本...只知道 exe的名字是 exeinfope.exe) : 1.6x~2.030之间
【02:53】"FileScanner 3",显示 1.704,证明它 这个不准确
【03:00】PEiD显示 有3个VMP段,它和我们之前讲的 VMP1.704 和 VMP1.6x 不一样,它又多了一个VMP段。而且它难度要高很多
【03:25】放入OD。现在开始 就要调试猛壳了,要设置好OD
【03:35】OD-->插件-->PhantOn-->Options -->"Protect DRx"是勾上的 --> SAVE
【03:43】OD-->插件-->StrongOD-->Options --> 有6个"√","CreateProcess Options" 选择"Normal"--> Save
【03:47】OD-->选项-->调试设置-->事件-->"设置第一次暂停于" 选择 "系统断点"--> 确定
【03:50】开始OD调试
【03:55】F9一下直接,OD提示信息"... ... 您仍要继续分析吗?" 视频中选择的是"是(Y)" (ZC: 选这个有点出乎我意料...)
【04:05】断下来了 ==> 反汇编窗口 --> 右击 --> 分析 --> 从模块中删除分析 【04:12】从这个情况可以知道,这个大约是 1.6x~1.704之间的版本,VMP全保护吧可能,VMP比较厉害。
【04:27】用这个断点 VirtualProtect,内存保护断点,对它进行下断 ==> Ctrl+G 输入 "VirtualProtect" --> 在找到的地方 F2 --> F9运行 10次 看到 VirtualProtect的参数Address是VSClient.00596000,运行到这里之后 它就是一个很好的返回时机。【04:55】为什么将这里确认为返回时机呢?我们看一下,9个段 (ZC: 是10个段吧...),最可以的段 就在vmp1里面,vmp2里面 它是SFX 它是 固定代码 输入,∴ 我们选择在00596000这个地方 为返回时机。--> 【05:28】F2取消断点 --> "内存映射"界面,00401000处设置 "在访问上设置断点 F2"
C