软件地址  1b0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6H3y4e0p5^5z5o6S2Q4x3X3g2F1k6i4c8Q4x3V1k6V1K9X3N6Q4y4h3j5I4x3e0l9^5x3e0W2Q4x3X3g2W2P5r3f1`.
使用工具 OD PEID EXEINFOPE

软件安装后后启动时间特别长，运行时很正常。
觉得这里面有很大的猫腻。
PEID查壳，显示为 Microsoft Visual C++ 8.0 [Overlay] *，未知壳。
换工具EXEINFOPE再查： [section protection] VMProtect v.1.25 - 1.x (demo) 2003-2006 PolyTech - a88K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8G2L8s2W2@1k6h3y4Z5i4K6u0W2N6i4u0S2L8q4)9J5k6i4u0#2i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3X3c8Q4x3U0k6F1j5Y4y4H3i4K6y4n7  Overlay :  EXE PE found > Offset : 0

VMProtect玩不转，不会弄，直接调试，F9运行，弹出第一个界面，胡乱敲入账号和密码，弹出一个框“用户名或密码错误”，登录框显示到期时间为-1天。
查找字符串“到期时间”，设断点，修改内存-1为1，弹出第二个登录框。原来的登陆框还在屏幕底部出现了两个程序，感觉像是两个独立的程序在运行。在安装目录下没有找到其他的运行程序。

查看执行模块，多了个“ Imageole。dll”，到安装目录下寻找，未发现。
attrib，发现了有属性为SH的隐藏文件，将隐含属性去掉。拷贝一个备份出来，OD载入，断在：
01455E67    6A A1           push -5F
01455E69    64:E8 D39A1B00  call Imageole.0160F942

这应该就是第二个运行程序了，后缀改成EXE，运行，的确是第二登录程序。

PEID查壳： UPolyX v0.5 *，但是EP区段为：.vmp1。
换工具EXEINFOPE再查：VMProtect v.1.6x (demo) 2003-2008 PolyTech - cc8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4k6E0M7s2u0G2N6r3g2U0N6q4)9J5k6i4u0#2
与第一个执行程序一样。后面的还在研究，有可能搞不下去。。。

[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！