0%

dump内存ida分析

Posted on In , , Views: Valine:
Symbols count in article: 613 Reading time ≈ 1 mins.

dump内存ida分析

这些天看到一篇文章挺好的无需脱壳dump内存

本想查app脱壳的,查到这个也学一下,思路挺好的, 简单来说就是不修复,直接dump出内存利用ida分析,

适用情况:

  1. smc解密后dump
  2. 加壳解密后dump
  3. 一些特殊情况

测试环境

软件备注
VMProtect版本:2.08
题目随便github搜的,这里选了re100
ida7.0
ollydbg吾爱破解od

初始化

image-20200518191838402

挺清晰的流程

加壳

首先vmp壳加起

image-20200518191758119

这里已经加上了,在入口点加超级

ida打开已经看不出人形了

image-20200518191707621

ollydbg dump内存

首先运行起来,让其进行解密

image-20200518200954555

alt+e或者点击e查看

image-20200518200912397

这里选第二个对应程序名的

image-20200518201010503

这里便是解密后的部分了,我们dump出来

image-20200518201037755

用OllyDump脱壳调试进程

image-20200518201118324

这里选出来,直接dump,我们不用修复,我们就要这个就行,然后ida查看

image-20200518201219839

发觉跟原来的大体类似,只是少了符号

扩展

  1. 我们可不可以单独dump一个函数出来
  2. 我们可不可以让这个过程自动化

实践1

我这里没有单独dump一个函数出来,不过利用smc会自解密, 等他解密过后,我dump出来

等他smc解密完成后

image-20200518202422654

这里可以脱掉后,打开ida

image-20200518202455155

也可以拿到完美的表现

实践2

…暂无, 自动化感觉实现起来也是可以的, 执行到指定地址,然后dump内存, 但麻烦的是, 我不知道有什么工具可以实现这个事

暂时手工实现吧

本文作者:NoOne
本文地址https://noonegroup.xyz/posts/3e05409a/
版权声明:转载请注明出处!