分析虚拟指令，完全是体力活啊~膜拜LZ的毅力

看上去好像是1.0左右版本的vmp

落后了。我一直以为没有驱动壳。要么就自己写。

话说 我Hook KiFaseSystemCall 想绕过 NtOpenProcess

还是被HP检测到了,但是 360 同样hook 的KFS却不提示

无解

话说你用了几级跳转？

这也叫分析?

体力活。眼睛都看花了。点到为止。他这个混淆引擎可大可小。
补上一个完整点的指令对照吧。目前HProtect.sys的指令还没重新混淆。
00 1d 05 = XOR BYTE PTR [05],BYTE PTR [1d]
04 1f 07 = and [07],[1f]
06 0d = JMP ESI+[0d]
0f 1f 05 = SHR [05],[1f]
10 03 1d = mov [[1d]],[03]
13 1d 1b = MOV BYTE PTR [1b],BYTE PTR [1d]
19 14 0d = IMUL [0d],[14]
1c 02 1d = RORB [02],[1d]
1e d0 fd ff ff 0e = movd [0e],fffffdd0
1f 07 = not [07]
22 12 1d = SHL [1d],[12]
24 19 02 = mov [02],[19]
27 1a = not [1a]
29 18 04= ROL [18],04
2e 1d 1e = OR [1e],[1d]
2f 05 07 = movb [07],05
32 05 05 = MOV [05],[[05]]
33 15 08 0c = MOVW [0c],0815
39 1e 04 = PUSH [1e] ,POPFD
3b = 检查堆栈指针是否越界
41 18 03 = ROL [03],[18]
4d 03 = MOV [03],EBX
52 05 07 = add byte ptr [05],byte ptr [07]
56 02 = push [02],sub ebp,4
59 1e = POPFD [1e]
62 50 = mov esp,ebp 虚拟机结束 = push esi+1,push xxx
        popad
        popfd
        ret xxx ret做为call 返回到esi + 1
        特征码:8B E5 61 9D C2

6a 15 1a = add DWORD PTR [1a], DWROD PTR [15]
6b 10 = pop [10]        ; add ebp,4
6c 11 09 = XOR DWORD PTR [09],DWORD PTR [11]
74 01 0d = movb [01],[0d]

呵呵 表示支持一下

楼主的毅力很强大

ntopenprocess里面还有objecthook....ruk查不出来。
过了后，od附加进去，会被发现，游戏马上退出。还没发现线索。