VMProtect完美脱壳过程

最新推荐文章于 2025-03-18 13:18:33 发布
最新推荐文章于 2025-03-18 13:18:33 发布
阅读量1k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li_dabo/article/details/137293157
版权

VMProtect完美脱壳过程

1.查看程序

这是我自己写的一个VB的小程序,长得有点丑,别介意。然后自己加了一个壳,是VMProtect v.1.6x - 2.03的壳。

接下来我们国际惯例,用PEID,EXEinfo PE查一下壳

可以看到是加了VMP的壳的,VMP壳的介绍我会放在帖子的最后哦。

2.拉到OD去啦~

push 0xE131EEA3 这其实就是被VM过的OEP,你问我啥是Push?push 就是把什么什么东西压入栈中,你懂吧?就那个右下角的框框!

(注:为了帖子的精华呢我们举个栗子,VC++6.0编译的程序 大家都知道它的OEP开头是push ebp,那大家知道这个push ebp是什么意思吗?push ebp的意思是把ebp压入栈中,就相当于 int main() {} 程序的main函数哦!如果我讲的不够详细大家方可百度看看!)

接下来我们用到一个函数。

3.Ctrl+G搜索VirtualProtectEx(虚拟地址处理)

来到这里之后呢,我们在这个7D85E1FF这里按下键盘上的F2。下一个断点,运行程序,看看程序的变化。

Alt+M 来到这里

我们可以看到有PE文件头,等等等之类的。

我们数一下这里有几个段。

到这个VMP1这里一共是有五个段,啥意思呢?意思是我们运行程序五次,记住,不要第六次哦,第六次就跑飞了,程序跑到虚拟地址里去了。

这是运行五次之后,堆栈的状态

这是运行第六次之后,堆栈的状态

程序已经跑到虚拟地址里面去了,那我们就跑第五次就可以啦

现在是一个很好的返回时机,我们在.text的代码段下一个内存访问断点。然后F9运行,这样我们就跑出了VMP段了。

来到这里之后呢,一直往下跟可以跟到OEP。

我们直接查看,点击M

然后右键.text在反汇编窗口中查看

然后右键分析代码

搜索FF 25

可以来到他的JMP头

往下面看都是有很多的JMP

那么我们就去它的尾巴看看

从模块中删除分析,然后呢,点击M。

ctrl+F搜索76 62 35

这是VB的程序,我们要找到这个,然后可以看到00401368 我们记住这个。

回到反汇编窗口,空格汇编,把我们之前的push 0xxxxxxx改成我们的push 0x401368

然后下面的这个CALL,它CALL的是上面的JMP,那我们也修改一下这个CALL。

修改完是这样的,然后接着我们需要修复转存。

记得不要忘了右键在此处从新的EIP哦

4.修复转存

我们需要打开Import REConstructor 这款工具呢就不做多的介绍了。

找到我们需要修复的进程

然后去OD看看dump的OEP是多少,

114C,复制下来,

点击自动搜索,获取导入表,然后啥的就不说了。

还有LordPE我们修正镜像大小,然后完整转存,这都是正常的修复,都懂。

然后把Import REConstructor 的修复储存到我们LordPE dump出来的软件上就可以啦,我们先点开软件看看吧。

一个是我们原版的,一个是脱壳后的,我们给脱壳后的进行查壳看看。

当当当,脱壳完成。

然后我们打开软件,看看是否可以运行。

double2li
关注
常见加壳软件 及脱壳工具
蜂刺
11-03 1万+
1.程序编写语言: 常见的程序制作语言有: Borland Delphi 6.0 - 7.0 Microsoft Visual C++ 6.0 Microsoft Visual Basic 5.0 / 6.0 还有汇编、易语言等。 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。 一些脱壳工具:http://down.52pojie.cn/Tools/Unpa
VMProtect 1.xx - 2.xx自动脱壳机(脚本)+教程
04-26
LCF-AT 是个传奇,脱壳牛人。他跟 Raham 都是研究脱壳,不研究破解的。两个都是脱壳牛人。VMProtect 1.xx - 2.xx自动脱壳机(脚本)+教程(密码tuts4you)
VMP脱壳脚本(VMProtect)
09-04
VMP脱壳脚本,VMProtect脱壳,VMP脱壳, 脚本支持1.7--2.0版本, 对1.7以下版本稍微修改即可。
脱壳核心逻辑+主流脱壳技术
最新发布
xixixi7777的博客
03-18 817
在计算机安全领域,“脱壳”(Unpacking)特指的过程。加壳(Packing)是软件保护或恶意代码隐藏的常用技术,而脱壳则是逆向工程的关键步骤,广泛应用于恶意软件分析、漏洞挖掘、软件破解等领域。(新兴威胁)
VMProtect脱壳工具(www.greenxf.com).zip
09-14
VMProtect脱壳工具(www.greenxf.com)
VMProtect 1.xx - 2.xx 自动脱壳机:解锁脱壳技术的利器
gitblog_09748的博客
10-28 605
VMProtect 1.xx - 2.xx 自动脱壳机:解锁脱壳技术的利器 【下载地址】VMProtect1.xx-2.xx自动脱壳机脚本教程 本仓库提供了一个针对 VMProtect 1.xx 至 2.xx 版本的自动脱壳机脚本及相关教程。该资源由脱壳领域的传奇人物 LCF-AT 和 Raham 共同研究并分享,旨在帮...
VMP (VMProtect)脱壳
热门推荐
zhw309的专栏
09-04 2万+
VMP脱壳 VMProtect 脚本
探索未知,破译保护:VMPDump 动态VMP脱壳工具
gitblog_00172的博客
08-13 895
探索未知,破译保护:VMPDump 动态VMP脱壳工具 项目地址:https://gitcode.com/gh_mirrors/vm/vmpdump 在安全研究和逆向工程的领域中,面对使用VMProtect 3.x x64加密保护的软件时,VMPDump是一把强大的钥匙。这是一个动态虚拟机指针(VMP)dump工具,同时也能够修复导入表,让你得以深入到被保护代码的内部。 革新前后的对比 直观...
VMProtect Ultimate 加壳脱壳
zisongjia的博客
03-14 8516
现在壳的发展一个趋势就是虚拟机保护,利用虚拟机保护后,能大大提高强度,因此建议尽可能使用此类技术保护软件。 如Themida ,WinLicense,EXECryptor等带有虚拟机保护功能,因此得用好其SDK。 另外,VMProtect是一款纯虚拟机保护软件,效果很好,但也有缺点,就是会影响程序速度,因此在一些对速度要求很高的场合就不适合用了 VMProtect 1.22.3之
代码保护软件VMProtect加壳脱壳原理总结
RoffeyYang的博客
06-17 4794
VMProtect是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。 VMProtect通过在具有非标准体系结构的虚拟机上执行代码来保护代码,这将使分析和破解软件变得十分困难。除此之外,VMProtect还可以生成和验证序列号,限制免费升级等等。 下载VMProtect最新试用版 VMProtect正版授权在线订购享受最低价,仅售801元起!还不赶紧加入你的订购清单?>>更多详情可点击咨询购买
VMP一键脱壳
m0_66142639的博客
01-23 4855
VMP3.x的脱壳机 闲来无事写的 此版本仅支持易语言程序。把dump的文件拖进OD 重复上述操作 再次修复。本程序仅供学习与参考 如有侵权请联系作者删除。解码后用cmd打开本程序 输入软件进程名。软件来源:Vidar - ST团队编写。拖入OD直接断GetVersion解码。第二次dump的文件 正常运行!自动跑了代码之后会显示OEP地址。可以看到文件已经被dump出来了。这时候 我们就可以dump了。来到OEP dump出文件。测试环境:win11。
VmprotectUnpackMe脱壳教程
07-22
资源名称:Vmprotect UnpackMe脱壳教程 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
红黑全能自动脱壳机——非常强大的脱壳工具
08-21
红黑全能自动脱壳机 非常强大的脱壳工具 下面是它能脱的壳: upx 0.5x-3.00 aspack 1.x--2.x PEcompact 0.90--1.76 PEcompact 2.06--2.79 NsPack nPack FSG 1.0--1.3 v1.31 v1.33 v2.0 VGCrypt0.75 expressor 1.0--1.5 dxpack v0.86 v1.0 !Epack v1.0 v1.4 mew1.1 packMan 1.0 PEDiminisher 0.1 pex 0.99 petite v1.2 - v1.4 petite v2.2 petite v2.3 winkript 1.0 pklite32 1.1 pepack 0.99 - 1.0 pcshrinker 0.71 wwpack32 1.0 - 1.2 upack v0.10 - v0.32 upack v0.33 - v0.399 RLPack Basic Edition 1.11--1.18 exe32pack v1.42 kbys 0.22 0.28 morphine v1.3 morphine v1.6 morphine v2.7 yoda's protector v1.02 yoda's protector v1.03.2 yoda's crypt v1.2 yoda's crypt v1.3 EXE Stealth v2.72--v2.76 bjfnt v1.2 - v1.3 HidePE 1.0--1.1 jdpack v1.01 jdpack v2.0 jdpack v2.13 PEncrypt v3.1 PEncrypt v4.0 Stone's PE Crypt v1.13 telock v0.42 telock v0.51 telock v0.60 telock v0.70 telock v0.71 telock v0.80 telock v0.90 telock v0.92 telock v0.95 v0.96 v0.98 v0.99 ezip v1.0 hmimys-packer v1.0 jdprotect v0.9b lamecrypt UPolyX v0.51 StealthPE 1.01 StealthPE 2.2 depack 涛涛压缩器 polyene 0.01 DragonArmour EP Protector v0.3 闪电壳(expressor) BeRoEXEPacker PackItBitch 木马彩衣 mkfpack anti007 v2.5 v2.6 yzpack v1.1 v1.2 v2.0 spack_method1 v1.0 v1.1 v1.2 v1.21 spack_method2 v1.1 v1.2 v1.21 xj1001 xj1000 xj看雪测试版 xj1003 xpal4 仙剑-凄凉雪 仙剑-望海潮 mslrh0.31 v0.32 [G!X]'s Protect
VMP脱壳最全脚本合集
04-18
内有VMP脱壳使用的7个脚本,版本涵盖1.7-2.0x,可以说目前市面上常见的VMP壳都可以脱掉。
VMUnpacker 超级巡警虚拟机自动脱壳机(VMUnpacker)
05-02
超级巡警虚拟机自动脱壳机(VMUnpacker)完全基于虚拟机技术,对各种已知未知壳进行脱壳处理,适合病毒分析中对加壳的木马样本进行脱壳处理。由于所有代码均运行在虚拟机中,不会对系统造成任何危害。本版为第一个正式公开版本,目前内部增强版使用超级巡警的unpack.avd库,可识别更多种各类加壳程序,具备更多的脱壳代码。 1、新增加24种壳脱壳方案。 2、修正morphine脱壳方法,修正对其的dump方法。 3、完善了导入表全备份功能。 4、引入PE优化功能,大大减小脱壳后的文件体积。
vmp 脱壳 插件
09-18
vmp 脱壳 插件 有不错的视频教程,还有插件
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1971
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
【软件逆向】带壳带反调试找flag教程(VMProtect3.0+X64dbg+ScyllaHide)
zhangjiuding的博客
10-24 4897
【软件逆向】带壳带反调试找flag教程(VMProtect 3.0+X64dbg+ScyllaHide)
脱壳方法 vmp 和各种壳的脱壳经验
nn_84的博客
08-25 1575
脱vmp壳 我要说明一件事情 加了随机地址的vmp壳 是无法脱的 因为 入口地址会出问题 你脱 那么入口地址一定是固定的 这样壳就不可能正常 但没有随机的过程编程的程序 oep就是401000 连对象编程的程序 也是 401000 之所以 脱后不正常 是因为 壳把资源和导入导出表 加密 但过程编程 只需跑完 virtualalloc 函数后 直接 转跳到 401000 就可以脱壳了。
vmprotect 脱壳工具mac
05-01
然而,有时候我们需要脱壳VMProtect保护的应用程序,以便我们能够进行分析或修改等操作。但在macOS环境中,目前似乎没有专业的VMProtect脱壳工具。 虽然没有专业的VMProtect脱壳工具,但我们仍可以通过一些方法来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值