1.查壳
发现是有一个异常区段的,其实是加了个壳,像是“一键网络验证”的样子
![图片[1]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/08/6755c09360dbe.png)
2.查壳一下软件的特征
发现有一个弹窗,可能是MessageBoxA/W,是非常经典的MFC程序,Windows风格的弹窗
![图片[2]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/08/6755c0937794e.png)
3.下断分析
断下来了
![图片[3]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/08/6755c19956312.png)
回溯就看到了软件在干什么
GetCurrentProcess是检索当前进程的伪句柄
TerminateProcess 是终止指定的进程及其所有线程。
![图片[4]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/08/6755c1992e4b6.png)
那么上面的跳转jne就是关键跳了,因为它跳过了结束进程的位置
4.重启程序修改关键跳单步分析
![图片[5]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/08/6755c2679b736.png)
发现执行这个call,程序立马就闪退,判断为“退出暗桩”
![图片[6]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/09/6755c2c582fae.png)
5.去掉暗桩
鼠标右键,NOP掉这个call即可
![图片[7]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/09/6755c3203ddf5.png)
6.逆向成功
点击运行,发现后面没什么问题了
![图片[8]-社区成员某VMP壳64位辅助程序逆向分析-软件安全逆向社区论坛-技术社区-学技术网](https://www.helloimg.com/i/2024/12/09/6755c357ee602.png)
是一个简单的小练习
实验程序下载地址:
![表情[koubi]-学技术网](https://www.52xuejishu.com/wp-content/themes/zibll/img/smilies/koubi.gif)
![表情[hanxiao]-学技术网](https://www.52xuejishu.com/wp-content/themes/zibll/img/smilies/hanxiao.gif)
