CM.exe

程序CM.exe来自去了信工所学长feng的《软件安全漏洞分析与发现》作业题
程序放在了github仓库天问之路下的week36-37中

程序分析

使用exeinfope查看，发现有VMP2.07的壳

先打开程序看一下

应该是要求输入几段密码。

思路是动调绕过VMP找到oep把解密后的程序段dump下来分析

1.脱VMP壳

FKVMP>>start

找到retn记录地址 0105166E

然后Ctrl+G找到VirtualProtect函数下断点

F9 一直到堆栈区出现直到NewProtect=PAGE_READONLY。

取消断点 按下ALT+M 对代码段下内存访问断点，F9运行

然后ctrl+G搜索刚刚记录下来的retn地址，F2断点，F9跑一次，来到上图位置，点击右上角的M，取消内存访问断点

F9 来到刚刚断点的位置，取消掉断点。然后Alt+M 对代码下内存访问断点。

然后F9运行来到oep 记录位置准备dump

2.dump

使用scylla(管理员模式)dump下来

3.分析

使用IDA打开dump下来的CM_dump_SCY.exe，Shift+F12打开字符串窗口，找到关键部分

密码1直接输入EaSyStEp1可以直接过。

密码2直接输入EaSyStEp2错误，看到下面有base64码表，编码后RWFTeVN0RXAy输入正确。

密码3在Success Step 3!\n 附近有⼀些关键字符串，其中 fseewefa 与 EaSyStEp3 的长度接近。猜测是循环异或。