能力值:
( LV2,RANK:10 )
|
-
-
2 楼
版本太高了。。。。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
你是讲我的目标程序的中VMP的版本太高了?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
1、系统有问题 2、程序不一样释放结果也不一样
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
不一定是read only 出现才释放完的
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
那是什么呢,我发现按F9第8次退出,是不是第7次时释放完呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
75E3E4F3 90 nop
75E3E4F4 90 nop
75E3E4F5 90 nop
75E3E4F6 > 8BFF mov edi,edi//在这里呢
75E3E4F8 55 push ebp
75E3E4F9 8BEC mov ebp,esp
75E3E4FB FF75 14 push dword ptr ss:[ebp+0x14]
75E3E4FE FF75 10 push dword ptr ss:[ebp+0x10]
75E3E501 FF75 0C push dword ptr ss:[ebp+0xC]
75E3E504 FF75 08 push dword ptr ss:[ebp+0x8]
75E3E507 6A FF push -0x1
75E3E509 E8 09000000 call KERNELBA.VirtualProtectEx
75E3E50E 5D pop ebp
75E3E50F C2 1000 retn 0x10
75E3E512 90 nop
75E3E513 90 nop
75E3E514 90 nop
不要在75E3E509 E8 09000000 call KERNELBA.VirtualProtectEx下断点。
在75E3E4F6 > 8BFF mov edi,edi这一句下断点才出现你说的那个东西。。我最近也研究VMP
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
楼上的回答的方法是对的,但VMP加壳的程序是多样的,有的程序可能没有PAGE_READONLY这个。并不是一定在PAGE_READONLY这个时候就表示释放完,也不一定是最后一次释放完。
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
你这个下段适合1.8以下的,2.05的下段不是你这里
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
恩 版本高级点会复杂很多
|
能力值:
( LV3,RANK:30 )
|
-
-
12 楼
都是NP他们惹的祸,没讲明道理呢,咳,其实挂了vm_exit ,然后判断 .test 解码情况就能最有效的
获取 OEP 情况 (如果 OEP 被 f 了的情况更是如此 ) ,行业潜规则很多人靠 vmp 吃饭呢
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
请问, vm_exit就是fkvmp中标出的retn么?
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
你们都是牛人呀 。。。
|
|
|
|
