2010.10.30_ximo_过VMP的vmware的检测

最新推荐文章于 2023-10-02 23:44:35 发布
最新推荐文章于 2023-10-02 23:44:35 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Vmprotect 文章标签: vmware 2010 exception 虚拟机 c

VMP有个检测虚拟机的选项,这里只说过vmware检测的方法。


下面就来说下过这个检测的方法:

1.在VM_Retn 末尾处下好断,如下:

//VM_Retn

010536CC Main     retn 50     //这里下好断
   

2.断下后,F7后,看代码,一直到出口处的指令为
0102F393    ED                   in eax,dx
0102F394    9C                   pushfd
0102F395    57                   push edi
0102F396    C74424 04 FEFCF284   mov dword ptr ss:[esp+4],84F2FCFE
0102F39E    60                   pushad
0102F39F    C74424 20 72265BE7   mov dword ptr ss:[esp+20],E75B2672

3.F7步过0102F393    ED                   in eax,dx后,把edx,ebx寄存器的值清0

4.F9运行,发现可以正常运行了。

很简单,方法也是很老的东西了。原理就是:

in eax,dx这条指令在R3下会产生异常,而VMP在SEH里重新设置了新的EIP,初始化了新的VMContext,而在虚拟机里,这个异常不会触发。

简单的代码如下(摘自shellwolf在反调试文章的代码):

bool IsInsideVMWare_()
{
bool r;
_asm
   {
     push    edx
     push    ecx
     push    ebx

     mov     eax, 'VMXh'
     mov     ebx, 0 // any value but MAGIC VALUE
     mov     ecx, 10 // get VMWare version
     mov     edx, 'VX' // port number
     in      eax, dx // read port
                   // on return EAX returns the VERSION
     cmp     ebx, 'VMXh' // is it a reply from VMWare?
     setz    [r] // set return value

     pop     ebx
     pop     ecx
     pop     edx
   }
return r;
}

bool FV_VMWare_VMX()
{
__try
   {
    return IsInsideVMWare_();
   }
__except(1) // 1 = EXCEPTION_EXECUTE_HANDLER
   {
    return false;
   }
}

补充下:如果不懂分析VM的handler,不懂哪条是VM_Retn的话,那就CTRL+F,搜in eax,dx指令下断吧!


gold2008
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
虚拟机VMP软件下载
10-18
完全去虚拟化 CPU 显卡 硬盘 主板 网卡 声卡 型号 内存 过检测 修改 过鲁大师 支持多种游戏运行 暴风游戏 :魔兽世界 等 原神 腾讯游戏: DNF CF 等等 私服游戏: 诺亚方舟2 神武 神泣 传奇 steam游戏等等
VMP3.12过虚拟机、调试器检测
05-14
最新的过vmp的方法 拿去吧 祖最新的方式
一种快速过VMP3.x调试器虚拟机检测的方法
weixin_30871293的博客
08-10 2598
VMP3.x 以上的版本的壳代码引入了一个标志位数值 Flags, 根据这个Flags值的位执行对应的事情。 比如: and 2 = 2 表示检测用户层调试器 and 4 = 4 表示检测内核调试器 and 10 = 10 表示检测虚拟机 只要将这个值修改为0,调试器和虚拟机检测甚至内存校验,文件校验都直接bypass. ( ps: 写了这么多壳代码就这么...
OllyICE过VMP、NP白色郁金香专版OD
03-08
白色郁金香专版OD过NP、VMP想怎么过就怎么过。 更新了多有插件过最新 Themida/WinLicense V1.9.9.0 和 VMProtect.v2.05 新增加了API 断点工具(由于新进群的菜鸟多) 修正了DBGHELP.DLL phamt 自己修改了TMD VMP 浮点错误 HideOD.dll 插件和StrongOD 冲突剥离插件在根目录与要自己配置 (这里只是为了共享,并非有意盗版。)
VMP加壳程序的自效验
08-18 1515
VMP加壳程序的自效验 2010-11-03 14:07 VMP加壳的选项中,有个内存效验选项,默认是勾上的,于是,默认的加壳后的程序,只要修改1个字节,程序就会报错。比如,我把加了VMP2.06后的记事本程序,用Hexworkshop打开,把最后一个字
leetcodeoj和leetcode-squirrel20.github.com:博客
07-07
鉴于经常默默的、自我催眠式的偷懒,决定把每天读过的并且写过笔记的内容记在这里,记录格式如下: [书名 版本][章节信息][日期(YYYY/MM/DD)] [深入理解计算机系统 第2版][2.3.1 无符号加法][2014/08/19] [离散数学]...
Osprey_Software_Development
03-28
鱼鹰_软件_开发互联网上的儿子儿子使用情况? Segúnloleídoy analizado,y sobre las necesidades ... Defina cada funcionalidad enmáximo2文本。道具: *在微芯片和先验材料上注册后的新注册用户。 * Seguim
proyectoFinal_Entrega1
04-02
Defina cada funcionalidad enmáximo2文本。 最初的功能:请在特定的位置上添加新的吉祥物,并在微芯片上将其保留下来。 Segunda Fucionalidad:在体育比赛中所使用的枪击事件,无论是在警察局还是警察局都可以...
hardpath, Teclado在线 para traduzir criptografia deixada por Bruno Silva https.zip
09-17
hardpath, Teclado在线 para traduzir criptografia deixada por Bruno Silva https Projeto Hardpath Acreditamos também查询 interesse por materiais tenha diminuido 。 Próximo passo Traduziu alguma-págin
RouletteBetsRepository:1.创建新的规则的端点2.创建新的规则的端点(a输入后的端点)的后座标,创建的简单的指针和确定的身份歌剧表演的真实世界3.终结点apuesta a unnúmero(losnúmerosválidospara apostar son del 0 al 36)o color(negro o rojo)de la ruleta din canerod determinada de dinero(máximo10.000dólares)auna ruleta abi
03-15
终点(a no nomero a puesta a unpústérodel del al al al al 0 al 36)o彩色(negro o rojo)de la Ruleta una de cantind determinada de dinero(máximo10.000dólares)auna ruleta abierta。 注意:请在...
绕过VMP3.x虚拟机检测录像
08-17
52上转的,由于原视频下载权限要求比较高很多同学下载不到所以在csdn分享一份
VMp.rar_VMProtectSDK.h 3711_VMP优化工具_vmprotect mingw_vmp加密壳_vmp文件
07-15
VMp——一款可以超强保护文件防止破解的加壳工具,软件设计员的绝佳伴侣!
VMProtect_Ultimate_v3.5.0_x32_Build_1213 32位版本
08-16
VMProtect_Ultimate_v3.5.0_x32_Build_1213_Retail_Licensed
VM虚拟机检测全套工具
08-01
工具包含Se VMP TMD等等..
逆向OD分享-过检测插件-可过VMP等壳保护检测
青月的成长记录吖
03-14 2753
很多新手在入门逆向的时候一般都是用的吾爱OD,吾爱OD现在已经很久没有更新了,新手使用此OD破解一般过不去VMP壳的保护,因此需要一个过检测OD来辅助破解,这里我分享一个我自己用的OD。希望能对你们有所帮助!
虚拟机过se,vmp等基础检测
最新发布
qq_54001206的博客
10-02 2170
过se,vmp,tmd等基础虚拟机检测
2011.07.27_33vc_过VMP文件效验
记录点滴
05-07 2890
http://www.33vc.com/index.php/archives/3653 用 NP 的 FKVMP 找到 GetHash 后,定位于 jnz 的下一条指令处 0041DB92 var i vv: go 0041DB92      // 由于这个不是主程序,没有那么严谨,所以可以使用 go 指令,这样 DUMP 的数据都是正确的 inc i log i log e
VMP v3.0.9过VMware检测
q304929130的专栏
05-05 1211
转载出处:https://www.52pojie.cn/thread-635613-1-1.html
VMware虚拟机检测详细教程,巨全面,小白专享教程
热门推荐
qq_54001206的博客
08-28 4万+
虚拟机检测,修改硬件,解除机器码,流畅稳定多开游戏
如何在终端中进入该文件所在文件夹,输入这条指令并运行即可。
03-02
要进入一个文件夹,可以使用cd命令。如果你知道该文件夹的路径,可以直接输入cd命令,后面跟上文件夹的路径。例如,如果要进入名为“documents”的文件夹,可以在终端中输入cd ~/documents,并按Enter键。如果你已经在该文件夹所在的目录中,可以使用cd命令,后面跟上两个点号。例如,如果你在名为“documents”的文件夹中,想要进入该文件夹的父级目录,则可以输入cd .. 并按Enter键。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值