2022-06-30星辉娱乐代理

吉德拉

你好!在之前的文章中,我们谈到了星辉娱乐代理逆向工程框架。今天我将以破解 MalwareTech 破解的例子与大家分享使用 星辉娱乐代理 的经验。我不是偶然选择它的。在我的一篇文章中,我谈到了代码虚拟化的工作原理,我们甚至编写了一个简单的虚拟机。现在我将展示如何使用 星辉娱乐代理 破解此类保护。

如何使用 星辉娱乐代理 框架?

您可以从 MalwareTech 官方网站下载crackme ,存档的密码也是 MalwareTech。

所以,从一开始,让我们看看档案中有什么。存档包含可执行文件 vm1.exe、转储文件 ram.bin 和 readme.txt,这表明我们正在处理一个 8 位虚拟机。转储文件只不过是一块内存,其中混合了随机数据和我们需要查找的标志。让我们暂时搁置转储文件,通过 DiE 程序查看 vm1.exe。

Detect It Easy Analyzer 中的 Crackmy
Detect It Easy Analyzer 中的 Crackmy

DiE 没有表现出任何有趣的东西,一切都与熵有关。这意味着没有铰链保护,但仍然值得检查。让我们将这个文件加载到 星辉娱乐代理 中,看看它会产生什么。我将给出没有功能的应用程序的完整列表(它非常小) - 以便您了解我们正在处理的内容。

如您所见,代码简单易读。让我们使用 星辉娱乐代理 反编译器,看看它会产生什么。

通过将变量声明与其余代码分开,我添加了缩进以提高可读性。代码很简单:首先在 GetProcessHeap -> HeapAlloc 堆中分配内存,然后将 DAT_00404040 中的 0x1fb(507) 字节复制到其中。但是我们在 00404040 中没有任何有趣的东西!我们记得,crackie 的说明说 ram.bin 是一块内存。当然,如果你看文件大小,原来是 507 字节。