声明
免责声明: 本站所发布的一切技术分析文章、工具、软件(全部来自于互联网收集)仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请与我们联系处理。
前言
对于简单的软件,我们往往选择直接用ResourceHacker工具进行修改,但是对于有壳的软件,这种工具就无法进行分析了,因为加壳软件会对原程序数据进行压缩/加密,所以我们只能另辟蹊径。
![图片[1]-VMP等强壳保护软件中的图片/任意资源:dump提取/修改指南-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/d2a7cca7cf9b5265d7aadef8c9b7cee7874b4a7dd8ad1b95df808f7cde8ae7c29b8b7962b3eb57d624790c8b93ae7e5d?pictype=scale&from=30013&version=3.3.3.3&fname=Snipaste_2025-04-03_16-18-49.%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
思路分析
还记得以前学习语文,老师说不要傻傻的看,文章是有结构的,按照结构去剖析文章,你会发现基本都是如此,课本上的文章从来不是记流水账。
逆向也是如此,程序都不是任意的被制作出来,都是拥有它的结构,比如Windows下的可执行文件结构叫做PE文件结构。比如今天我们以图片为例子,分析图片的提取和修改,图片其实也有他的结构,很多朋友其实不清楚。
比如PNG图片,就有他的标志性头部和尾部,PNG是我们生活中常见的图片格式,程序中的各种图片都有极大可能是PNG的。
参考文章:https://zhuanlan.zhihu.com/p/397397536
![图片[2]-VMP等强壳保护软件中的图片/任意资源:dump提取/修改指南-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/981d2568b03524a51c4be6101602c6283bfde8abcda8900adc1cffb3e428aa2daa8c956f072dffef831bf37b14be6766?pictype=scale&from=30013&version=3.3.3.3&fname=Snipaste_2025-04-03_16-32-19.jpeg&size=750)
比如我们拿一张PNG图片来分析:
上图文章的头部格式,我们在自己找的图片中也可以看到
0000 89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52 ‰PNG........IHDR
![图片[3]-VMP等强壳保护软件中的图片/任意资源:dump提取/修改指南-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/57439d2bd110fad24996043868df3abc32581dfc7ba454e2e28d37b00c1c470479fd6c17b2442394bfb1ecc8e4350638?pictype=scale&from=30013&version=3.3.3.3&fname=Snipaste_2025-04-03_16-37-21.%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
所以我们可以得到结论,只要我们只要在内存中搜索下面的字节特征,就可以在内存中找到我们的图片了
0000 89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52 ‰PNG……..IHDR
有头部就有尾部,通过一些十六进制工具就可以看到:
5432 49 45 4E 44 AE 42 60 82 IEND®B`‚
![图片[4]-VMP等强壳保护软件中的图片/任意资源:dump提取/修改指南-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/3f695d795f2c1ade5bb5b55aa605073c8d2406ab6c157af87d0bf0d41cf175e12d1f441e40e184343dbc188bc3cf2db6?pictype=scale&from=30013&version=3.3.3.3&fname=Snipaste_2025-04-03_16-44-28.jpeg&size=750)
手动Dump流程
Dump脚本构思
流程逻辑并不复杂
- 读取程序内存
- 搜索PNG头部字节
89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52‰PNG........IHDR - 搜索后把结果全部罗列出来得到一个内存地址列表
- 在内存地址列表中读取每一个地址,从头部开始读取,然后读取是否到达尾部的连续字节,
49 45 4E 44 AE 42 60 82IEND®B` - 如果到达尾部字节,就记录当前尾部的内存地址
- 从头部到尾部全部保存为二进制PNG文件即可
搜索特征码的代码,论坛有发,在此不做赘述,提供第四个步骤的代码,较为关键
// PNG文件头特征码
const BYTE pngHeader[] = { 0x89, 0x50, 0x4E, 0x47, 0x0D, 0x0A, 0x1A, 0x0A, 0x00, 0x00, 0x00, 0x0D, 0x49, 0x48, 0x44, 0x52 };
// PNG文件尾特征码
const BYTE pngFooter[] = { 0x49, 0x45, 0x4E, 0x44, 0xAE, 0x42, 0x60, 0x82 };
保存png文件代码,其中ResultArray是vector地址列表
Dump效果
![图片[5]-VMP等强壳保护软件中的图片/任意资源:dump提取/修改指南-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/90833919bb78c1cb54ed625470a35bed36c2fa2e0b85e8c6c588d4e007243877bd3a22932bc52b6ee4ae0d7338bbec15?pictype=scale&from=30013&version=3.3.3.3&fname=Snipaste_2025-04-03_18-42-34.jpeg&size=750)
![图片[6]-VMP等强壳保护软件中的图片/任意资源:dump提取/修改指南-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/56cacb40cd33685f6b2a0d53dabcd19fac3029b524b342c69ff39055568c635b7fcaacb7479bed8f7c0cfbef0a2fe96a?pictype=scale&from=30013&version=3.3.3.3&fname=Snipaste_2025-04-03_18-43-01.jpeg&size=750)
修改效果
只需要把Dump的图片,自己用PS修一下,然后打个补丁即可,补丁推荐自己写,比较灵活
修改效果图
![图片[7]-VMP等强壳保护软件中的图片/任意资源:dump提取/修改指南-软件安全逆向社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/149208f5a55fecf0cf6bd065b5718b7c3cd91fed7597d9733a3fc19b74936c1edddfc8886ef169e05058ccd1a5fab77a?pictype=scale&from=30013&version=3.3.3.3&fname=Snipaste_2025-04-03_18-41-05.jpeg&size=750)
效果视频
![表情[qiang]-学技术网](https://www.52xuejishu.com/wp-content/themes/zibll/img/smilies/qiang.gif)
![表情[xia]-学技术网](https://www.52xuejishu.com/wp-content/themes/zibll/img/smilies/xia.gif)
![表情[deyi]-学技术网](https://www.52xuejishu.com/wp-content/themes/zibll/img/smilies/deyi.gif)
![表情[ciya]-学技术网](https://www.52xuejishu.com/wp-content/themes/zibll/img/smilies/ciya.gif)
