Vmprotect
gold2008
这个作者很懒,什么都没留下…
展开
-
2010.09.28_ximo_纠正下VMP脱壳中的修复DLL的错误
http://hi.baidu.com/ximo2006/blog/item/ff0d3211f139f7def6039e75.html用来纠正下《也来谈谈VMP2.05的脱壳》中,那个修复DLL的一些小问题。主要的问题是出在对于导入的函数为序号时,则当时的代码就会出错。比如MFC42.DLL中的函数都是按序号索引的,如mfc42.#4710这时候,如果按这样的代码去获取地址:转载 2012-05-06 21:46:25 · 2190 阅读 · 0 评论 -
2011.07.27_33vc_过VMP文件效验
http://www.33vc.com/index.php/archives/3653用 NP 的 FKVMP 找到 GetHash 后,定位于 jnz 的下一条指令处 0041DB92var ivv:go 0041DB92 // 由于这个不是主程序,没有那么严谨,所以可以使用 go 指令,这样 DUMP 的数据都是正确的inc ilog ilog e转载 2012-05-07 00:06:22 · 2909 阅读 · 0 评论 -
2012.02.29_hkfans_VMProtect 2.06全过程分析
标 题: 【原创】VMProtect 2.06全过程分析作 者: hkfans时 间: 2012-02-29,14:00:23链 接: http://bbs.pediy.com/showthread.php?t=147164废话不多说,所有需要的过程分析文档,样本,OD插件全部都在附件中。。下面稍微写下那个烂插件的使用方法。。使用方法:a. 先在HandlerInf转载 2012-05-07 20:03:07 · 1616 阅读 · 0 评论 -
2012.04.07_天易love_关于VMP调试插件原理的思考
以超级大牛hkfans“vmp2.06全过程分析”一文中的NOTEPAD.vmp.exe作为例子,讲一下我的理解,错误之处请牛人指正! 1、如何实现retrieve handler info? 我觉得主要是找到一张虚拟机指令地址入口表,类似于这样:81 12 FA FE 43 2C FA FE 92 08 FA FE 69 08 FA FEE1 1C FA FE 7转载 2012-05-07 20:07:04 · 2262 阅读 · 0 评论 -
2011.02.03_理解了VMP保护的原理
理解了VMP保护的原理把X86指令 push(入栈) 之后 加密 然后 jmp到虚拟机 然后通过解释器,模拟CPU对指令进行执行 比如VMProtectBeginpush 2push 3call 0x123456VMProtectEnd把这段代码进行加密 变成jmp 到虚拟机中利用解释器进行解释执行加密的时候先把你加密的代码转载 2012-05-07 20:17:11 · 5204 阅读 · 1 评论 -
2010.12.23_天易love_深入浅出VMP爆破
标 题: 【原创】深入浅出VMP爆破作 者: 天易love时 间: 2010-12-23,21:32:07链 接: http://bbs.pediy.com/showthread.php?t=127020http://pan.baidu.com/netdisk/singlepublic?fid=140670_2407013133转载 2012-05-07 21:10:05 · 2398 阅读 · 0 评论 -
2011.04.28_luyiqiang_继续和谐VMP 学习笔记
标 题: 【原创】继续和谐VMP 学习笔记作 者: luyiqiang时 间: 2011-04-28,19:05:52链 接: http://bbs.pediy.com/showthread.php?t=133096这几天看了大牛们的VMP脱壳视频,视频里的操作好快,为了更好的学习,自己做了些笔记,相当把视频操作,做了慢镜头,现在拿出跟大家分享,希望大家喜欢,大牛就飘过吧,新手转载 2012-05-07 21:16:28 · 1491 阅读 · 0 评论 -
2012.04.29_LCF-AT_VMProtect CRC Tutorial M1 + M2
http://forum.tuts4you.com/topic/28936-vmprotect-crc-tutorial-m1-m2/page__hl__vmprotectso today I wanna show you two ways how you can bypass the CRC checks in VMProtected targets on a easy way.I转载 2012-05-07 22:39:37 · 2129 阅读 · 0 评论 -
2010.09.28_Nooby_vmp1.8+ antidump分析
http://www.unpack.cn/forum.php?mod=viewthread&tid=56675发表于 2010-9-28 15:10:50例子一共V了2行00401000 60 pushad00401001 8B7424 24 mov esi, dword ptr [esp+0x24]转载 2012-05-02 17:28:20 · 1374 阅读 · 0 评论 -
2010.08.05_ximo_加VMP外壳后的程序的爆破分析二(vmp 2.05)
http://hi.baidu.com/ximo2006/blog/item/87a21549c21da5fd82025c9b.html本次分析的对象是加了VMP外壳的程序。当然如果你觉得脱VMP2.05的壳比直接爆破关键然后patch掉效验来的简单的话,你可以直接脱壳后进行破解。首先还是写个简单的程序,做为试练品,来进行练习。关键部分的源码如下:int RegCode(cha转载 2012-05-06 20:46:55 · 3114 阅读 · 0 评论 -
nooby_VMProtect 1.8: Unpack + OEP Fix + IAT Fix + VM Patching
http://bbs.pediy.com/showthread.php?t=104805&highlight=vmprotecthttp://pan.baidu.com/netdisk/singlepublic?fid=140670_2501828955转载 2012-05-08 02:00:11 · 1621 阅读 · 0 评论 -
2012.04.26_Raham_VMProtect's VM CRC Patching (+CPUID)
Hi Guys.today i will show you how you can Patch VMProtect's VM.VMP has a feature called Check VM Object Integrity.that make VM Patching quite hard.so i coded a tool to fool the vmp;)on t转载 2012-05-07 22:53:01 · 2325 阅读 · 0 评论 -
2008.08.06_RolfRolles_VMProtect
http://www.openrce.org/blog/view/1238/VMProtect,_Part_0:__BasicsVMProtect is a virtualization protector. Like other protections in the genre, among othersReWolf's x86 Virtualizer andCodeVirtual转载 2012-05-07 22:18:52 · 842 阅读 · 0 评论 -
2010.10.30_ximo_过VMP的vmware的检测
VMP有个检测虚拟机的选项,这里只说过vmware检测的方法。下面就来说下过这个检测的方法:1.在VM_Retn 末尾处下好断,如下://VM_Retn010536CC Main retn 50 //这里下好断 2.断下后,F7后,看代码,一直到出口处的指令为0102F393 ED in eax转载 2012-05-06 22:02:02 · 3269 阅读 · 0 评论 -
2010.07.30_ximo_简单的VM保护程序的爆破分析(vmp 2.05)
http://hi.baidu.com/ximo2006/blog/item/1ae9d6044406c976030881e1.html小菜鸟初玩VM,简单记录下,当做学习笔记。只是简单的爆破分析而已,不涉及还原,当然知道了原理,还原也只是个体力活。能力有限,写的东西可能有很多错误,请大家多多指点。首先,先写几句简单的代码,当做试炼程序。#include int main(转载 2012-05-06 20:41:32 · 2982 阅读 · 0 评论 -
2010.10.15_ximo_VMP脱壳后antidump的处理及再谈简单的爆破(带视频)
http://www.52pojie.cn/thread-67701-1-1.html 发表于 2010-10-15 21:36:31VMP脱壳后,有个antidump,也就是说,加了VMP外壳后,又VM掉了某关键代码后,脱壳后,就得处理antidump部分,不然程序会出错。下面就简单的说下我个人的处理方法,当然,方法很多,我能力有限,只会这种垃圾的方法。当然比补区段要看点,补区段实转载 2012-05-06 18:25:16 · 1895 阅读 · 0 评论 -
2011.01.07_ximo_2个脚本(vmp 2.06)
/*VMProtect 2.01-2.06 Unpacker of GetAPIby ximo[LCG][DFJG]just for fun*/var tmpvar endmov end,0100739dbcbphwcgpa "VirtualProtect", "kernel32"cmp $RESULT, 0je errbp $RESULT+13转载 2012-05-07 00:01:14 · 1912 阅读 · 1 评论 -
2011.07.25_33vc_VMP2.0X最新脱壳方法
http://www.33vc.com/index.php/archives/3650目前VMP的脱壳方法,主要是先找OEP,然后处理IAT 找OEP的方法,nooby曾经制作过,估计很多人都会。修复IAT Kissy做过两节VMP2.05的视频,过程很烦琐,用了脚本,最后跨平台还要附加一个dll,很不方便。至于LCF 的脚本,我没试过,貌似跑完脚本后还要补两个区段。转载 2012-05-07 00:02:15 · 9367 阅读 · 1 评论 -
2011.11.11_33vc_hook e_flag爆破VMProctect
http://www.33vc.com/index.php/archives/3770方法只是适用于call xxxxxxxx ///关键calljnz xxxxxxxx ///注册成功与不注册跳转类型,即标志位判断的情况~~我来补上点的东西吧,一般e_flag分成两种:一类是0x202,0x206,0x242;另一类是x246,0x282,0x286。这两类值决定"转载 2012-05-07 00:10:09 · 1253 阅读 · 0 评论 -
2010.08.09_TheCjw_跟随ximo的脚步——简单分析VMP
http://www.52pojie.cn/thread-56725-1-1.html 发表于 2010-8-9 22:10:49ximo兄在《庆祝A-new苏醒系列之一--简单的VM保护程序的爆破分析》一文中介绍了如何Patch e_flag来对vmp进行爆破,文章写得通俗易懂,适合入门。相信有不少同学都跟我一样好奇,ximo是如何调试到那个地方的。通过一晚上的调试,我想和各位分享一转载 2012-05-07 00:14:03 · 1738 阅读 · 0 评论 -
2011.11.09_33vc_视频教程:爆破VMP 2.06加壳程序
http://www.33vc.com/index.php/archives/3768http://pan.baidu.com/netdisk/singlepublic?fid=140670_3091685192转载 2012-05-07 00:17:45 · 1063 阅读 · 0 评论 -
2010.12.09_ximo_再来和谐下VMP2.07的脱壳
http://hi.baidu.com/ximo2006/blog/item/9c61dd3ae2b6e63296ddd833.html今天拿到了VMP2.07的bin,看了下新版的外壳,发现处理上有了些变化,于是,fuck之。大致的脱壳流程还是没什么变:1.到OEP后dump2.生成IAT的对应关系txt3.添加进DLL,实现跨平台但是,IAT的处理,新版的V转载 2012-05-06 20:14:31 · 10860 阅读 · 0 评论 -
2011.06.18_ximo_VMP antidump 之补区段法
http://hi.baidu.com/ximo2006/blog/item/ee78110342cf621f1c9583a0.html以前也写过处理VMP antidump方法的文章,当时用强制修改vm_jmp的方法来解决的,需要对VM有一定的了解,并且还要手动patch,可能比较麻烦,而且还有副作用,就是VM的内存随机效验,当然内存效验可能通过vm_rdtsc来解决。现在就介绍个用转载 2012-05-06 20:24:21 · 2583 阅读 · 0 评论 -
2011.10.17_MentalDease_VMP License 的RSA公钥获取和PATCH方法
http://www.unpack.cn/thread-70511-1-1.html 发表于 2011-10-17 13:05:03所有版本包括VMP2.1.2都有一个函数没有被V(漏了还是怎么?),众所周知,VMP的License是一个BASE64串,这个串解码后是RSA加密后的值,这个没有被V的函数就是用来创建这个License大数的,前面被调用的两个函数是创建RSA的N转载 2012-05-02 17:55:45 · 1565 阅读 · 0 评论 -
2009.07.26_小娃崽_VMP 之反 VM (还原代码) 之初初
http://www.unpack.cn/forum.php?mod=viewthread&tid=38633 发表于 2009-7-26 21:19:55VMP之还原VMP初探作者:小娃崽[CUG] 这应该是一篇菜鸟一看就懂,高手不用看就懂的帖子。不知道为什么,前段时间老是在想VMP这个东西,可能是因为太闲的原因吧。突然想到 如果虚拟了 MOV EAX,1这个指令最终结果还转载 2012-05-02 16:38:03 · 2386 阅读 · 0 评论 -
2010.10.26_ximo_简单分析下VM的跳转流程
http://hi.baidu.com/ximo2006/blog/item/63cb7e5ea8dff64cfaf2c0bf.html今天工作比较郁闷,所以拿VM出下气,更新了下fkvmp,发现效果不错,基本不用再对照OD,直接分析伪指令日志,就能看出个大概了,于是写个简单的VM_JMP处理过程分析。被V的代码很简单,主要是为了方便看VM处理跳转的流程:原始代码:#inclu转载 2012-05-06 21:51:29 · 2241 阅读 · 0 评论 -
2010-08-22_ximo_也来谈谈VMP2.05的脱壳
http://hi.baidu.com/ximo2006/blog/item/dc630103b080f00d728da567.htmlVMP的外壳部分不能说难,只能说烦。特别是IAT的修复,由于函数调用的错位(并非是规则的call xxxx nop或者nop call xxxx系列)、寄存器使用的随机性、大量的乱序等,使得写脚本修复是个非常蛋疼的事情,而且往往会修复错,修复漏,而VM代码里的转载 2012-05-06 21:44:24 · 2661 阅读 · 0 评论 -
2010.11.03_ximo_过VMP加壳程序的自效验(vmp 2.06)
http://hi.baidu.com/ximo2006/blog/item/144661313b85224cac4b5f60.htmlVMP加壳的选项中,有个内存效验选项,默认是勾上的,于是,默认的加壳后的程序,只要修改1个字节,程序就会报错。比如,我把加了VMP2.06后的记事本程序,用Hexworkshop打开,把最后一个字节,修改成90,如图:然后保存后,打开程序,就会转载 2012-05-06 22:03:34 · 6787 阅读 · 2 评论 -
2011.11.10_33vc_VMP 2.06 antidump的处理
http://www.33vc.com/index.php/archives/3769欢迎观看点点的乐园 www.33vc.com 视频教程。VIP教程更加精彩。本站官方QQ群为:56612062。今天用VMP 2.06加壳。V了一段。antidump..不加密IAT,今天这个不是重点。呵呵。其他保护都选上。VMP每次加壳都不一样,现场加也许我还得分析,增加了不少难转载 2012-05-06 19:01:01 · 1171 阅读 · 0 评论 -
2010.11.04_西风X_Vmprotect之OD插件
http://bbs.pediy.com/showthread.php?t=124213&highlight=vmprotect 一直想做一个VMP的自动化工具,但我总是想法的巨人,行动的矮子,加之本人并非IT出身,计算机仅是一个爱好而已,CODE能力极其低下,所以,至今上图的工具还没有完成,等我完成的时候,我会与大家分享,不过,过程可能会有点漫长,感谢小伟提供的帮助,没有他的转载 2012-05-08 01:49:38 · 1542 阅读 · 1 评论