逆向分析VT加持的无畏契约纯内核挂

一前言最近玩JD上头但是被各路挂壁打的头大，偶然看到隔壁群友发的村瓦挂壁赛直播，起了逆下看看的念头。遂顺着网线一路找到了发卡网，拿到了本次逆向的主角。貌似不简单阿，不过“易语言程序”这几个字了怎么没了？二分析阶段网络验证及外壳程序经典E语言程序配VMP，想必代码肯定是运行时解密的，直接运行dump拖IDA一条龙。这里推荐一下fjqisba老哥的E-Decompiler（https://github.com/fjqisba/E-Decompiler），运行插件之后看到了熟悉的易语言函数。直接搜下4D 5A 90能看到有两个结果：据我所知易语言开发通常会把PE文件当作图片资源存放在易语言资源里面，而资源的数据区上面的DWORD就是数据大小。按这个规律可以直接dump出两个PE文件：可以看到存在易语言资源中的两个PE文件都是驱动程序，想必这就是包含作弊功能的驱动了，按顺序先分析第一个位于 ………………………………