利用工具半自动修复VMP3.5壳的变异IAT

已于 2024-03-11 10:09:47 修改
阅读量665 收藏 7
点赞数 15
文章标签: VMP 脱壳
于 2024-03-11 10:08:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vbnetcx/article/details/136616083
版权

本教程不讲解过反调试,寻找并修复OEP等内容, 只讲解修复变异IAT的部分, 有疑问或者错误的地方可以指出来, 用到的工具有x32dbg    vmp3-import-fix-x86    Universal Import Fixer    Imports Fixer, 除了x32dbg调试器,其余软件都在附件可以下载
第一步:调试器调试到OEP后暂停(记下OEP地址和进程ID), 可以看见下图中的call FD320A, FD320A这个地址会跳转到.vmp0段, 这里应该是直接调用GetVersion函数的; 


第二步:以管理员打开cmd, 执行"vmp3-import-fix-x86 -p 之前记下的进程ID"命令, 执行完命令后随便用个工具dump出来;
 


第三步:以管理员打开Universal Import Fixer, 进程ID填写之前记下的进程ID, 代码始于和代码止于自己看自己的调试器中的地址填写, 新的IAT VA可以不填写, 勾选修复输入表, 点击开始, 等待修复完后就进行下一步 


第四步:以管理员打开Imports Fixer, 进程列表中选择正在调试的进程, 点击IT&IAT, 代码区段中选择.text, OEP填写之前记下的OEP地址, 点击获取导入表, 把无效指针都去掉, 点击修正转储, 选择之前dump出来的文件, 最后dump出来的文件就已经修复完变异IAT啦, 可以把.vmp0和.vmp1区段头和数据全部删除啦
 


觉得可以的话,给个三连吧

学编程的闹钟
关注
  • 15
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
VMP3.5 脱壳--查找OEP
被遗弃的庸才博客
01-19 1万+
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp的程序基本就是右键回收站,但是如果只是简单的加了一层vmp的话,还是可以分析的。 vmp方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下,方便之后查找main函数 这里说明一下,目前大部分人加都会虚拟化代码段,这样的话基本上就需要右键回收站了,主要是核心代码被vm
VMProtect_Ultimate_v3.5.0_x32_Build_1213 32位版本
08-16
VMProtect_Ultimate_v3.5.0_x32_Build_1213_Retail_Licensed
vmp IAT修复补丁源码-易语言
03-22
先用得到IATVmp2.0x Unpacker
VMProtect修复导入表的插件
weixin_30859423的博客
07-13 268
版本:VMProtect.Ultimate.2.12.3 样本:TKLobby.exe 目的:IAT修复 作者:MrWrong 标题:VMProtect修复导入表的插件 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! 严谨地说,本文所作的工作仅仅是在跑到VMP所保护的exe的OEP后,修复系统中LONG CALL 和 LONG JMP,还有一些MOV reg, [iat_...
探索软件逆向的奥秘:VMProtect 3.x IAT修复利器
最新发布
gitblog_00055的博客
05-28 556
探索软件逆向的奥秘:VMProtect 3.x IAT修复利器 项目地址:https://gitcode.com/woxihuannisja/vmp3-import-fix 在逆向工程与软件保护的世界里,每一项工具都是解锁软件秘密的关键。今天,我们要介绍的是一个针对VMProtect 3.x版本的强大工具——“VMProtect 3.x IAT Fix and Rebuild Import Tab...
VMPfix:高效修复VMProtect导入的利器
gitblog_00054的博客
05-25 304
VMPfix:高效修复VMProtect导入的利器 项目地址:https://gitcode.com/archercreat/vmpfix 在网络安全和逆向工程领域,VMProtect是一款广为人知的软件保护工具。然而,对使用VMProtect加密的应用程序进行逆向分析时,我们常常会遇到导入修复的挑战。这就是VMPfix应运而生的原因,这是一个专为动态修复x86/x64应用中VMProtect 2...
软件逆向工程脱壳分析
09-06
独立开发软件保护系统,深度了解脱壳的本质,提高软件逆向水平 中级班的课程大致分为前期PE文件格式的解析,中期保护的编写,后期实现脱壳,变异原理以及虚拟机保护原理 编写保护详细详解各种加密思路,防破解思路,以及反调试,PE格式等相关知识等,让自己对PE文件格式完美上升一个档次,文件格式又分为基础与应用,基础是次要,应用是主要,老师会深入浅出的带领同学们对PE文件格式进行各种应用,比如实现修复重定位完成DLL加,提取原入口点并且对这个入口点进行加密保护,以及对区段的各种加密手法与技巧,如何实现IAT保护.识别代码块保护学习这一门课程具有极强的功效!为自己后面脱壳打下坚实的基础
逆向VMP的基本思路
狂奔boy的博客
06-26 5703
逆向Android平台的时候,偶然发现了Profiler性能面板的CPU trace功能的妙用,启发了我逆向VMP的新思路
VMP3.x脱壳iat修复以及跨平台处理
m0_66142639的博客
02-21 753
放到OD目录下的dll 注意 是OD目录 不是插件目录!由多人合作开发:黑蓝&星天帝&杀马特团长。开发团队:Vidar-ST。
一款VMP内存DUMP及IAT修复工具
pandazhengzheng的博客
02-09 1244
一款VMP内存DUMP及IAT修复工具
VMp.rar_VMProtectSDK.h 3711_VMP优化工具_vmprotect mingw_vmp加密_vmp文件
07-15
VMp——一款可以超强保护文件防止破解的加工具,软件设计员的绝佳伴侣!
修复重定位,lz4库压缩区段,反调试,IAT加密,加密代码段,TLS简单处理
06-06
简单C++项目
35款最新自动脱壳工具合集
09-23
本人收集的比较好用的自动脱壳工具,共35款,一包打尽所有工具.
vmpdump:由VTIL支持的动态VMP转储程序和导入修复程序
03-17
VMPDump 由VTIL支持的动态VMP转储程序和导入修复程序。 适用于VMProtect 3.X x64。 之前与之后 用法 VMPDump.exe <Target> "<Target>" [-ep=<Entry>] [-disable-reloc] 参数: <Target> :目标进程的ID,以十进制或十六进制形式。 <Target> :应该转储并修复的模块的名称。 如果需要过程映像模块,则可以为空字符串(“”)。 [-ep=<Entry>] :十六进制形式的可选提供的入口点RVA。 VMPDump只是使用此值覆盖可选标头中的入口点。 [-disable-reloc] :可选设置,用于指示VMPDump标记输出图像中的重定位已被剥离,从而迫使该图像加载到转储的ImageBase上。 如果需
试卷生成工具单机版.vmp试卷生成工具单机版.vmp
04-17
试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp试卷生成工具单机版.vmp...
发仔制作vmp加密工具源码密码1
08-29
在这个压缩包中,"发仔制作vmp加密工具源码.e"很可能是源代码文件,可能需要输入正确的密码才能查看和编译。对于想要深入研究VMP加密工作原理的开发者来说,这将是一份宝贵的学习资料。不过,由于没有提供密码,...
dump文件导入表修复工具——Imports Fixer
一个热爱逆向,喜爱学习、分享的猿。
03-21 1090
最近在学习VMP脱壳,用到了该工具,记录分享一下。 功能: 根据进程的导入表,在该进程的dump文件中分配一块空间,在文件中创建导入表。 下载: 非开源 很多地方可以下载到,这里分享一个csdn下载地址: https://download.csdn.net/download/shadow20080578/85012603 使用前提: 1、导入表被修复好的进程 2、导入表没有被修复好的dump文件 使用方法: 打开主界面 1、在主界面上面选中导入表被修复好的进程 2、主界
VMP学习笔记之基础(一)
u014738665的博客
10-12 3923
【文章标题】: Vmp1.21学习笔记 【文章作者】: 黑手_鱼 【软件名称】: Vmp1.21 【下载地址】: 自己搜索下载 【加方式】: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) 【编写语言】: Borland Delphi 4.0 - 5.0 【操作平台】: win7 32位 【作者声明】: 以看雪作者waiWH的VMP还原系列为原型逆向分析 ---------------------------------------------------
wasm + vmp
09-14
WebAssembly (简称Wasm) 是一种可移植的低级字节码格式,用于在Web浏览器中运行高性能应用程序。它是一种跨平台技术,允许开发者使用多种编程语言(如C、C++、Rust等)编写代码,并将其编译为Wasm字节码,然后在Web浏览器中运行。 VMP (Virtual Machine Protection) 是一种用于保护软件的技术,它通过对软件进行虚拟化处理,增加反调试、反逆向工程等保护机制,从而提高软件的安全性。VMP可以将软件转换为一种虚拟机的形式,在虚拟机环境中执行,使得对软件的分析和修改变得更加困难。 综合起来说,Wasm和VMP是两种不同的技术。Wasm用于在Web浏览器中运行高性能应用程序,而VMP则是用于保护软件的虚拟化技术。它们在不同的领域有着不同的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学编程的闹钟

自愿打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值