金融终端V7.69优化测试版20240712[size=21.3333px](32位 ) vmp脱壳的一种方法
解压后查壳如下图:
可见是加了VMProtectv.3.6.0-3.7.3壳,选项为压缩。
一、电脑系统环境
二、脱壳软件环境
三、脱壳步骤
1. 把TDXW.exe放入X64DBG打开。
2. 查看内存布局
看到共分12个段,比较复杂。
3. 在最后一个段“.rsrc”下一次性内存访问断点:
得如下结果:
4. 按F9运行一次得如下结果:
5. 同上,在 “.vmp1”段下一次性内存访问断点得如下结果:
6. 按F9运行一次得如下结果:
7. 类似地,再在 “.data”段下一次性内存访问断点得如下结果:
得如下结果:
8. 按2次F9运行二次得如下结果:
9. 类似地,再在“.rdata”段下一次性内存访问断点,按F9运行一次得如下结果:
10. 鼠标左键点击“CPU”返回汇编窗口:
得如下结果:
11. 鼠标向上滚动,即可找到OEP:
12. 启动scylla, 最后鼠标右键删除无效节点:
13. dump存盘, 修正:
14. 检查脱壳后的情况:
表明已经脱壳了。
15. 双击运行,正常:
16. 优化已脱壳的主程序:
删除壳段数据:
存盘:
优化后文件大小减小了: