http://forum.exetools.com/attachment.php?attachmentid=4189
附件下载:decode.rar
- 标 题: softworm 发布了VM解码器。
- 作 者:鸡蛋壳
- 时 间:2006-03-25 09:22
- 链 接:http://bbs.pediy.com/showthread.php?threadid=23116
http://forum.exetools.com/attachment.php?attachmentid=4189
附件下载:decode.rar
这个程序是拿来分析dumped_.exe的,pcode数据是用ReadProcessMemory读的。只是个console程序,需要改ProcessID和需要读的内存地址。程序不完整,只是够得到当前的结果。
dumped_.exe不是放出的那个,是没有删除dump出来那一大堆section(vm代码)的。
问题是themida加壳的时候加了些随机性,pcode数据内各field的偏移量是变化的,解释程序的处理顺序也有变化。虽然套路差不多,但不能直接用到另一个程序上。我想themida加壳时显示的“生成特定vm”可能指这个。
这个东西我耗了差不多4个月,只是笨工夫而已,没什么可夸耀的。鸡蛋壳不妨介绍一下怎么去掉nag。