能力值:
( LV3,RANK:30 )
|
-
-
26 楼
你对 VMP 理解可能有误,它并没有解出 X86 指令,而是模拟,懂它的人,才能利用规则还原代码
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
好贴回帖做个标记。
|
能力值:
( LV8,RANK:120 )
|
-
-
28 楼
你好,谢谢你的指教,因为我这篇文章是写给完全刚入门的新手,所以对VMP并没有多做说明,而一语带过,让你造成误会,实在很抱歉!
我这几篇给新手的帖,只是要让新手在适当的API上下断点,拦下程序, 并没有要 "还原代码",用VMP或Virtualizer, 都必需在程序中做上记号,它们仅对做上记号的部份做处理,这是其一, 但不能理解为对整个sys档都做了所谓加壳处理,因此PE档头没被破坏,输入表中就可以查到用了什么低阶的
API,在SoftICE中就可以调用来拦截...
這对新手而言,我就直接告诉他们.sys档是不能被加壳的,不去解释后面这么多,希望已入门的雪友们能理解,因为我不是在写针对vmp的脱壳帖.
同样,vmp内保护的虚拟码,仍然要做我们原先指定的工作, 该去呼叫API,还是得呼叫API,不会因为这样就变成不去呼叫API了,所以对入门的雪友,我说最后还是得在x86下的CPU指令下工作,因为被SoftICE拦下来的时候,雪友们仍可以看到呼叫低阶API时的API x86有意义机码,当然如果想要回去主程序领空,就是虚拟机的世界,也许我简中用的不好,造成前辈的误会.
我在主帖上有多放一个用vmp保护的.sys,
zwdemo first.vmp.rar
有兴趣的雪友可以下来试试,程序中關鍵的zwOpenKey已被我標記給vmp,所以在IDA Pro是不會看到調用zwOpenKey的機碼,但用LordPE仍可以在輸入表中看到zwOpenKey
所以就可以在SoftICE中下斷點,
,SoftICE在关键的zw API一样可以拦下来的,虽然不能拿来还原程序码,但对分析恶意程式仍是有一定的帮助的^^
希望不要再针对.SYS档能不能被加壳,或是被VMP加壳后的执行情况再挑我的语病了, 重点是新手用SoftICE可以分析.SYS档,可以拦下Ring 0层的API来,这样就达到这篇文章的效果了
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
欢迎来自宝岛的朋友
|
能力值:
( LV5,RANK:60 )
|
-
-
30 楼
马克.慢慢消化.
|
能力值:
( LV3,RANK:30 )
|
-
-
31 楼
继续向楼主学习 SE
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
tw的朋友要欢迎。。
我很多看不懂^_^。
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
超级有价值的帖子!必须顶!
|
能力值:
( LV3,RANK:20 )
|
-
-
34 楼
又是一个系列主题的精彩好帖,多谢LZ的分享。不可多得的文章
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
继续下载收藏,好好学习
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
支持LZ,多谢了,收藏学习了。、
|
能力值:
( LV2,RANK:10 )
|
-
-
37 楼
很详细,收藏了。
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
标记一下,慢慢学习。
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
路好长啊~~
|