标 题:
【原创】VMProtect 2.06全过程分析
作 者: hkfans
时 间: 2012-02-29,14:00:23
链 接: http://bbs.pediy.com/showthread.php?t=147164
废话不多说,所有需要的过程分析文档,样本,OD插件全部都在附件中。。下面稍微写下那个烂插件的使用方法。。
使用方法:
a. 先在HandlerInfoWindow中选择Retrieve Handler Info
b. 然后就是在PseudoWindow选择DecodeVm From PCodeAddr填入PCode地址,如010375AC,就会解析出伪指令,伪指令的格式山寨VMPDebugger..需要适应
c. Tab键单步跟踪, F4跳去执行
附件中包含:
I. 过程分析文档:
检测EP断点
获取API函数地址
虚拟机检测
AntiDebug
文件crc校验
外壳内存crc校验
解码
AntiDump
IAT
被保护程序代码crc校验
....
II. 记事本样本
III. OD插件 --> VmpCodeCleaner.dll
贴张插件效果图:
http://pan.baidu.com/netdisk/singlepublic?fid=140670_1125245240
作 者: hkfans
时 间: 2012-02-29,14:00:23
链 接: http://bbs.pediy.com/showthread.php?t=147164
废话不多说,所有需要的过程分析文档,样本,OD插件全部都在附件中。。下面稍微写下那个烂插件的使用方法。。
使用方法:
a. 先在HandlerInfoWindow中选择Retrieve Handler Info
b. 然后就是在PseudoWindow选择DecodeVm From PCodeAddr填入PCode地址,如010375AC,就会解析出伪指令,伪指令的格式山寨VMPDebugger..需要适应
![狂笑](http://bbs.pediy.com/images/smilies/biggrin.gif)
![狂笑](http://bbs.pediy.com/images/smilies/biggrin.gif)
c. Tab键单步跟踪, F4跳去执行
附件中包含:
I. 过程分析文档:
检测EP断点
获取API函数地址
虚拟机检测
AntiDebug
文件crc校验
外壳内存crc校验
解码
AntiDump
IAT
被保护程序代码crc校验
....
II. 记事本样本
III. OD插件 --> VmpCodeCleaner.dll
贴张插件效果图:
http://pan.baidu.com/netdisk/singlepublic?fid=140670_1125245240