VMP2.0版本带壳调试教程

最新推荐文章于 2024-08-23 14:06:42 发布
最新推荐文章于 2024-08-23 14:06:42 发布
阅读量6.5k 收藏 22
点赞数 7
分类专栏: 恶意软件分析 文章标签: VMP 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/94129436
版权
本文介绍了如何带壳调试VMP2.0版本的程序,通过在VirtualProtect函数处设置断点,观察NewProtect值变化找到代码解密完成的时刻。接着,通过删除模块分析,搜索特定字节码来定位OEP,最终在0x4016C0处设置硬件断点,成功进入程序的入口点,实现带壳调试。
摘要由CSDN通过智能技术生成

样本MD5:297DE74CB20A975EFAF20CD88FDDF270

在逆向分析时遇到VMP壳总是令人头疼,因为要源文件完美地从VMP壳中脱出来非常的困难。相比于VMP完美脱壳,带壳调试要简单许多,而且已经能满足调试分析的需求了,VMP分1.0、2.0、3.0,2.0,现在市面上较多见的是2.0,调试方法也较简单,下面我们就来讲解下如何带壳调试VMP2.0。

使用查壳工具可以得知样本加的是VMP2.0.7版本的壳,小本版之间的脱壳方法都一样,以下方法v2.0.X都适用。
1
OD打开样本后,按下Ctrl+G跳转到VirtualProtect函数的位置。
2

在VirtualProtect的起始处(0x7C801AD4)下断点,然后开始按F9,程序会多次停在断点处,在此期间要注意观察右下方红框中的NewProtect的值。
3

当NewProtect的值变为PAG_READONLY时,样本的代码已经全部解密出来了,我们停止按F9。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
ASPr带壳调试+壳内存CRC分析+Inline Loader
07-31 4373
 作 者: wynney时 间: 2006-11-09,18:40链 接: http://bbs.pediy.com/showthread.php?t=34659【文章标题】: ASPr带壳调试+内存校验完整分析+Inline Loader[Delphi开源]+语音使用录象【文章作者】: wynney【作者主页】: http://ReverserCracker.Spaces.Live.Com【软件
IDA动态带壳调试分析
qq_34108752的博客
09-17 648
一: adb install xxxx adb push d:\as /data/local/tmp/as //如果已经push过as到手机上 就免掉这步 adb shell su //如果已经给过权限 就免掉这步 chmod 777 /data/local/tmp/as //如果...
VMP脱壳最全脚本合集
04-18
内有VMP脱壳使用的7个脚本,版本涵盖1.7-2.0x,可以说目前市面上常见的VMP壳都可以脱掉。
vmp 脱壳 插件
09-18
vmp 脱壳 插件 有不错的视频教程,还有插件
vmp带壳内部打补丁.exe
08-02
说说软件的用途 支持对 vmp2.x-3.x 带壳内部打补丁 支持 exe 支持dll 本次更新 1.若干Bug 2.美化UI 3.增加了弹窗功能 4.增加DLL加载功能 5.增加偏移自动计算功能
32. 脱壳篇-简单带壳的程序、反调试带壳的程序(堆栈平衡原理找OEP、代码段设置断点)
墨痕诉清风的博客
03-07 740
第一个程序 OEP为46B6F9 PE头位置为46B000到46D000区间,have a nice day! 就是壳 一定要点上箭头指向处,dump改名 清除区段 ,删除壳,保存 第二个程序(市面上60%-80%)根据堆栈平衡原理寻找OEP F8后到下图位置,但并不是OEP 因为地址与PE差别大,壳伪造了我们的text,rd...
vmp所有版本脱壳分析教程
05-01
这是lcf所有的vmp脱壳教程,希望大家喜欢!
VMP3.5 脱壳--查找OEP
热门推荐
被遗弃的庸才博客
01-19 1万+
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp加壳的程序基本就是右键回收站,但是如果只是简单的加了一层vmp壳的话,还是可以分析的。 vmp加壳方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下,方便之后查找main函数 这里说明一下,目前大部分人加壳都会虚拟化代码段,这样的话基本上就需要右键回收站了,主要是核心代码被vm
VMp.rar_VMProtectSDK.h 3711_VMP优化工具_vmprotect mingw_vmp加密壳_vmp文件
07-15
VMp——一款可以超强保护文件防止破解的加壳工具,软件设计员的绝佳伴侣!
VMP加壳
01-28
VMP加壳.exe
VMP 加壳工具v3.3.1
04-09
VMProtect 是一款高级版的程序加壳工具,可以有效地保护你的应用程序不被反编译,说明白点就是一个加壳工具,加壳后的应用程序体积变得更小,而且更加安全。
VMP加壳工具
01-11
VMP壳加密分析工具,对于VMP的虚拟机原理有很好的帮助。
VMP2.05脱壳学习笔记
12-06
目前最专业ollydebug专业级的笔记,收藏多年,希望对你有帮助。
VMProtect_2.0.7.最新版
03-06
强大的保护壳 国外优秀的加密,保护软件 支持VMProtect completely supports all 32/64-bit Windows operating systems: Windows 95/98/ME, Windows NT, Windows 2000, Windows XP, Windows 2003, and Windows Vista...
VMP壳原理
09-06 1737
总结vmp壳基础原理,大牛不要喷啊! 1.与传统的加壳工具不同,不是简单的把目标进行压缩、内存解压运行,而是修改目标源码,让目标的部分指令在vmp创建的虚拟环境下运行,虚拟环境中无操作数比较指令、条件跳转和无条件跳转指令; 2.被修改替换的目标指令最终形成的字节码有前后相关性,即你改变其他任意一个字节会影响到所有被vm虚拟化的指令 3.vmp的虚拟机其实是一个字节码解释器,循...
VMP学习笔记之壳基础(一)
u014738665的博客
10-12 3982
【文章标题】: Vmp1.21学习笔记 【文章作者】: 黑手_鱼 【软件名称】: Vmp1.21 【下载地址】: 自己搜索下载 【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) 【编写语言】: Borland Delphi 4.0 - 5.0 【操作平台】: win7 32位 【作者声明】: 以看雪作者waiWH的VMP还原系列为原型逆向分析 ---------------------------------------------------
vmp 壳实战经验
最新发布
nn_84的博客
08-23 174
vmp 一些壳 虽然是虚拟壳 但这个壳有一个缺点 也就是去除了随机地址 所有程序入口地址都是 401000 程序就是这样排列的。对于vmp 对象编程加密的壳 你脱壳后无法正确运行 是因为资源被加密。
深入解析Android壳加固技术:Dex2c与VMP实现
本文主要探讨了Android应用加固技术,特别是围绕抽取壳、VMP(Virtual Machine Protection)加固以及DEX2C转换方法。加固的主要目的是保护应用程序不受逆向工程攻击,防止代码被篡改或盗用。我们将深入理解Android的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值