2010.10.30_ximo_过VMP的vmware的检测

最新推荐文章于 2023-10-02 23:44:35 发布
最新推荐文章于 2023-10-02 23:44:35 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Vmprotect 文章标签: vmware 2010 exception 虚拟机 c

VMP有个检测虚拟机的选项,这里只说过vmware检测的方法。


下面就来说下过这个检测的方法:

1.在VM_Retn 末尾处下好断,如下:

//VM_Retn

010536CC Main     retn 50     //这里下好断
   

2.断下后,F7后,看代码,一直到出口处的指令为
0102F393    ED                   in eax,dx
0102F394    9C                   pushfd
0102F395    57                   push edi
0102F396    C74424 04 FEFCF284   mov dword ptr ss:[esp+4],84F2FCFE
0102F39E    60                   pushad
0102F39F    C74424 20 72265BE7   mov dword ptr ss:[esp+20],E75B2672

3.F7步过0102F393    ED                   in eax,dx后,把edx,ebx寄存器的值清0

4.F9运行,发现可以正常运行了。

很简单,方法也是很老的东西了。原理就是:

in eax,dx这条指令在R3下会产生异常,而VMP在SEH里重新设置了新的EIP,初始化了新的VMContext,而在虚拟机里,这个异常不会触发。

简单的代码如下(摘自shellwolf在反调试文章的代码):

bool IsInsideVMWare_()
{
bool r;
_asm
   {
     push    edx
     push    ecx
     push    ebx

     mov     eax, 'VMXh'
     mov     ebx, 0 // any value but MAGIC VALUE
     mov     ecx, 10 // get VMWare version
     mov     edx, 'VX' // port number
     in      eax, dx // read port
                   // on return EAX returns the VERSION
     cmp     ebx, 'VMXh' // is it a reply from VMWare?
     setz    [r] // set return value

     pop     ebx
     pop     ecx
     pop     edx
   }
return r;
}

bool FV_VMWare_VMX()
{
__try
   {
    return IsInsideVMWare_();
   }
__except(1) // 1 = EXCEPTION_EXECUTE_HANDLER
   {
    return false;
   }
}

补充下:如果不懂分析VM的handler,不懂哪条是VM_Retn的话,那就CTRL+F,搜in eax,dx指令下断吧!


gold2008
关注
专栏目录
VMP3.12过虚拟机、调试器检测
05-14
最新的过vmp的方法 拿去吧 祖最新的方式
虚拟机VMP软件下载
10-18
完全去虚拟化 CPU 显卡 硬盘 主板 网卡 声卡 型号 内存 过检测 修改 过鲁大师 支持多种游戏运行 暴风游戏 :魔兽世界 等 原神 腾讯游戏: DNF CF 等等 私服游戏: 诺亚方舟2 神武 神泣 传奇 steam游戏等等
虚拟机过se,vmp等基础检测
qq_54001206的博客
10-02 2920
过se,vmp,tmd等基础虚拟机检测
一种快速过VMP3.x调试器虚拟机检测的方法
weixin_30871293的博客
08-10 2633
VMP3.x 以上的版本的壳代码引入了一个标志位数值 Flags, 根据这个Flags值的位执行对应的事情。 比如: and 2 = 2 表示检测用户层调试器 and 4 = 4 表示检测内核调试器 and 10 = 10 表示检测虚拟机 只要将这个值修改为0,调试器和虚拟机检测甚至内存校验,文件校验都直接bypass. ( ps: 写了这么多壳代码就这么...
OllyICE过VMP、NP白色郁金香专版OD
03-08
白色郁金香专版OD过NP、VMP想怎么过就怎么过。 更新了多有插件过最新 Themida/WinLicense V1.9.9.0 和 VMProtect.v2.05 新增加了API 断点工具(由于新进群的菜鸟多) 修正了DBGHELP.DLL phamt 自己修改了TMD VMP 浮点错误 HideOD.dll 插件和StrongOD 冲突剥离插件在根目录与要自己配置 (这里只是为了共享,并非有意盗版。)
leetcodeoj和leetcode-squirrel20.github.com:博客
07-07
鉴于经常默默的、自我催眠式的偷懒,决定把每天读过的并且写过笔记的内容记在这里,记录格式如下: [书名 版本][章节信息][日期(YYYY/MM/DD)] [深入理解计算机系统 第2版][2.3.1 无符号加法][2014/08/19] [离散数学]...
PEGASUS飞马EX2200缝纫机使用说明书.pdf
02-11
7. **Trucos y consejos avanzados**: Además de las instrucciones básicas, el manual puede ofrecer técnicas avanzadas y trucos para aprovechar al máximo la máquina, desde el uso de diferentes tipos...
3-GuíaUsuario_y_PuestaEnMarcha ESP Rev12 (SP3)-ES
最新发布
04-27
Esta sección proporciona información sobre cómo calcular el número óptimo de paneles solares que deben conectarse en serie para obtener el rendimiento máximo del sistema. Es importante ...
RouletteBetsRepository:1.创建新的规则的端点2.创建新的规则的端点(a输入后的端点)的后座标,创建的简单的指针和确定的身份歌剧表演的真实世界3.终结点apuesta a unnúmero(losnúmerosválidospara apostar son del 0 al 36)o color(negro o rojo)de la ruleta din canerod determinada de dinero(máximo10.000dólares)auna ruleta abi
03-15
终点(a no nomero a puesta a unpústérodel del al al al al 0 al 36)o彩色(negro o rojo)de la Ruleta una de cantind determinada de dinero(máximo10.000dólares)auna ruleta abierta。 注意:请在...
hardpath, Teclado在线 para traduzir criptografia deixada por Bruno Silva https.zip
09-17
hardpath, Teclado在线 para traduzir criptografia deixada por Bruno Silva https Projeto Hardpath Acreditamos também查询 interesse por materiais tenha diminuido 。 Próximo passo Traduziu alguma-págin
绕过VMP3.x虚拟机检测录像
08-17
52上转的,由于原视频下载权限要求比较高很多同学下载不到所以在csdn分享一份
VMp.rar_VMProtectSDK.h 3711_VMP优化工具_vmprotect mingw_vmp加密壳_vmp文件
07-15
VMp——一款可以超强保护文件防止破解的加壳工具,软件设计员的绝佳伴侣!
VMProtect_Ultimate_v3.5.0_x32_Build_1213 32位版本
08-16
VMProtect_Ultimate_v3.5.0_x32_Build_1213_Retail_Licensed
VM虚拟机检测全套工具
08-01
工具包含Se VMP TMD等等..
VMP加壳程序的自效验
08-18 1568
VMP加壳程序的自效验 2010-11-03 14:07 VMP加壳的选项中,有个内存效验选项,默认是勾上的,于是,默认的加壳后的程序,只要修改1个字节,程序就会报错。比如,我把加了VMP2.06后的记事本程序,用Hexworkshop打开,把最后一个字
VMware虚拟机检测详细教程,巨全面,小白专享教程
热门推荐
qq_54001206的博客
08-28 5万+
虚拟机检测,修改硬件,解除机器码,流畅稳定多开游戏
逆向OD分享-过检测插件-可过VMP等壳保护检测
青月的成长记录吖
03-14 3270
很多新手在入门逆向的时候一般都是用的吾爱OD,吾爱OD现在已经很久没有更新了,新手使用此OD破解一般过不去VMP壳的保护,因此需要一个过检测OD来辅助破解,这里我分享一个我自己用的OD。希望能对你们有所帮助!
2011.07.27_33vc_过VMP文件效验
记录点滴
05-07 2930
http://www.33vc.com/index.php/archives/3653 用 NP 的 FKVMP 找到 GetHash 后,定位于 jnz 的下一条指令处 0041DB92 var i vv: go 0041DB92      // 由于这个不是主程序,没有那么严谨,所以可以使用 go 指令,这样 DUMP 的数据都是正确的 inc i log i log e
VM17绕过VMP虚拟机检测笔记
weixin_44984432的博客
08-26 759
OD下断ZwQuerySystemInformation,返回C0000023改为C0000001。
SOP8封装N-Channel场效应MOS管9470GM-VB的特性和应用
* 需要注意MOSFET的热设计,以免因温度过高而损害MOSFET。 结论 9470GM-VB MOSFET是一款高性能的N-Channel场效应MOS管,适合各种应用场景。通过了解其特性、应用场景、参数限制和使用注意事项,可以更好地使用该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值