[讨论]你能调 VMP 2.08？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]你能调 VMP 2.08？

发表于: 2011-12-5 11:08 13757

[讨论]你能调 VMP 2.08？

游戏蛀虫

2011-12-5 11:08

13757

今天调试自己的程序是VMP2.08的壳感觉不能调试哦？

1，你能打开的方式启动吗？
2，你能 bp SendMessageBoxA 吗？
3，你能修改第一条指令为 INT3 吗？

反正我不能希望有高手指点

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

上传的附件：

GetSysInfo.rar （769.01kb，76次下载）

收藏・0

免费・0

支持

最新回复 (19)
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 2 楼占楼，你还能看出来我用了什么算法吗？如果你能逆向算法偶就崩溃了节约帖子另外看雪邀请码换一个 www.unpack.cn 的邀请码 2011-12-5 11:10 0
电速极光雪币： 159 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 843 粉丝 0 关注私信	电速极光 3 楼表示，我也不能。 2011-12-5 14:29 0
杨谨雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	杨谨 4 楼保留楼层供学习 2011-12-5 14:47 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 5 楼其实没什么不行的，只是下来看了看，发现没什么意思，至于你信不信，反正我自己信了。 2011-12-5 14:52 0
zenix 雪币： 2401 活跃值： (1402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 6 楼如果 vmp 2.08 不能调试，那么破解版是怎么产生的？至于你的问题， 1. 原版 OD + StrongOD 可以解决。 2. VMP 会检查 0xCC，办法是人想出来的。 3. 你会触发 VMP 的文件校验和内存校验。至于第三点，你是因为第一点失败了，才想用第三点的吧？建议你多看看论坛那些前辈写的教程，就会明白了。耐心，很重要。 0135BD0E FF75 14 push dword ptr ss:[ebp+14] 0135BD11 FF75 10 push dword ptr ss:[ebp+10] 0135BD14 FF75 0C push dword ptr ss:[ebp+C] 0135BD17 56 push esi 0135BD18 FF15 E4A43801 call dword ptr ds:[138A4E4] ; USER32.SendMessageA 0135BD1E 837D 18 00 cmp dword ptr ss:[ebp+18],0 0135BD22 74 1C je short 0135BD40 ps. 脱壳出来的程序，我的 Avast 直接报毒了。 2011-12-5 16:58 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 7 楼今天在公司看小说去了。不曾想来了高人我是用吾爱破解OD + StrongOD 不能打开调试可以附加但是不能下端 bp SendMessageBoxA 修改0XCC 被文件检测估计是TLS发现的吗我把TLS去掉反而不能正常运行，难道VMP在TLS中干坏事 2011-12-5 17:17 0
zenix 雪币： 2401 活跃值： (1402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 8 楼用原版 OD 吧。另外 6 楼我补充了一点点代码 2011-12-5 17:20 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 9 楼 [QUOTE=杨谨;1026479]要unpack也没什么意义。环境还不如这里。同样都是<<我在计算机的道路上很迷茫>>这种新人求助贴超级................ QUOTE] 同感啊 yingyue 大侠不打算露2手啊 2011-12-5 17:21 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 10 楼啊报毒我也不知道是怎么的我看了我这里还是报不过应该没病毒吧。反正我没加估计是VM造成或则我哪里什么代码造成的误判代码有读取 MAC 和硬盘序列号然后RSA加密全部就这些了 2011-12-5 17:27 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 11 楼我用SOD + 原版运行可以打开运行会断点3次的样子代码段就全是0了呢再设置几次我是选项构完+CreateAsRestrict 2011-12-5 17:44 0
zenix 雪币： 2401 活跃值： (1402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 12 楼底下是我的推测：我是 Windows 7 系统. 你的程序用 Visual Studio 2008 编译的时候，选择了允许动态。所以 VMP 解码的时候，可以把代码的基址任意搬动。因此，代码的基址就不一定在哪里了。你观察 00401000 那个地址，就变成是没用的了。剩下的，就交给大牛们帮你解释。或是你自己看看教程了。天冷了，回家取暖。。。 2011-12-5 18:06 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 13 楼请问，SendMessageBoxA是神马函数？你创造的？我只知道SendMessageA。 bp SendMessageA OD加载F9，断下的话，继续F9，能运行。第3点上面有人说了，文件校验啊。 2011-12-5 18:30 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 14 楼笔误+失败 = 错误第三点我是这样想的哈如果确实是写INT3的第一句代码那么就不存在文件校验设因为程序首先异常断在了第一句代码然而事实不是这样而是报错 FILE ocrrupted 只有一种可能我改的代码不是第一句 OD打开自动断在的代码不是第一句？我这里是00512490 jmp GetSysIn.00590CD3 这个难道这个TLS比已经运行了啊继续查找论坛查找答案 2011-12-6 09:12 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 15 楼文西大哥你也能调试啊我用打开的方式 F9 Shift+f9都会出错直接把代码段全部清理错误是 005120B8 ED in eax,dx 这个特权指令引发吧估计是但是过滤了这个特权指令用附加的方式一定不能bp SendMessageA 马上出错这个估计是内存校验吧好吧都有方向了好像但是又不知道怎么去做 2011-12-6 09:34 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 16 楼 wine 打不開XDDD，不玩，哈哈哈 2011-12-6 09:37 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 17 楼找了一天头都晕了查了一天居然还是没搞定呢原版OD+SOD+替换DBGHELP.DLL 我SOD是0.4.3.770 和 4.5.810 2个版本并且只用了SOD插件我打开方式是先打开OD 然后用打开方法打开GetSysInfo.exe 不得不怀疑资质另外壳的头部修改INT3 可不可以在TLS回调设置啊 2011-12-6 17:19 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 18 楼建議你自己重新找plugin自己設定比較快==，不要用別人設定好的。 2011-12-6 17:52 0
惟我独尊雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	惟我独尊 19 楼这个2.08并没有那么复杂啊，难脱吗？反正我搞定了 2012-3-30 00:07 0
小金鱼雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	小金鱼 20 楼谁来说明清楚？？ 2012-4-1 17:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

游戏蛀虫

发帖

531

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 2 楼占楼，你还能看出来我用了什么算法吗？如果你能逆向算法偶就崩溃了节约帖子另外看雪邀请码换一个 www.unpack.cn 的邀请码 2011-12-5 11:10 0
电速极光雪币： 159 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 843 粉丝 0 关注私信	电速极光 3 楼表示，我也不能。 2011-12-5 14:29 0
杨谨雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 69 粉丝 0 关注私信	杨谨 4 楼保留楼层供学习 2011-12-5 14:47 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 5 楼其实没什么不行的，只是下来看了看，发现没什么意思，至于你信不信，反正我自己信了。 2011-12-5 14:52 0
zenix 雪币： 2401 活跃值： (1402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 6 楼如果 vmp 2.08 不能调试，那么破解版是怎么产生的？至于你的问题， 1. 原版 OD + StrongOD 可以解决。 2. VMP 会检查 0xCC，办法是人想出来的。 3. 你会触发 VMP 的文件校验和内存校验。至于第三点，你是因为第一点失败了，才想用第三点的吧？建议你多看看论坛那些前辈写的教程，就会明白了。耐心，很重要。 0135BD0E FF75 14 push dword ptr ss:[ebp+14] 0135BD11 FF75 10 push dword ptr ss:[ebp+10] 0135BD14 FF75 0C push dword ptr ss:[ebp+C] 0135BD17 56 push esi 0135BD18 FF15 E4A43801 call dword ptr ds:[138A4E4] ; USER32.SendMessageA 0135BD1E 837D 18 00 cmp dword ptr ss:[ebp+18],0 0135BD22 74 1C je short 0135BD40 ps. 脱壳出来的程序，我的 Avast 直接报毒了。 2011-12-5 16:58 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 7 楼今天在公司看小说去了。不曾想来了高人我是用吾爱破解OD + StrongOD 不能打开调试可以附加但是不能下端 bp SendMessageBoxA 修改0XCC 被文件检测估计是TLS发现的吗我把TLS去掉反而不能正常运行，难道VMP在TLS中干坏事 2011-12-5 17:17 0
zenix 雪币： 2401 活跃值： (1402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 8 楼用原版 OD 吧。另外 6 楼我补充了一点点代码 2011-12-5 17:20 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 9 楼 [QUOTE=杨谨;1026479]要unpack也没什么意义。环境还不如这里。同样都是<<我在计算机的道路上很迷茫>>这种新人求助贴超级................ QUOTE] 同感啊 yingyue 大侠不打算露2手啊 2011-12-5 17:21 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 10 楼啊报毒我也不知道是怎么的我看了我这里还是报不过应该没病毒吧。反正我没加估计是VM造成或则我哪里什么代码造成的误判代码有读取 MAC 和硬盘序列号然后RSA加密全部就这些了 2011-12-5 17:27 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 11 楼我用SOD + 原版运行可以打开运行会断点3次的样子代码段就全是0了呢再设置几次我是选项构完+CreateAsRestrict 2011-12-5 17:44 0
zenix 雪币： 2401 活跃值： (1402) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 12 楼底下是我的推测：我是 Windows 7 系统. 你的程序用 Visual Studio 2008 编译的时候，选择了允许动态。所以 VMP 解码的时候，可以把代码的基址任意搬动。因此，代码的基址就不一定在哪里了。你观察 00401000 那个地址，就变成是没用的了。剩下的，就交给大牛们帮你解释。或是你自己看看教程了。天冷了，回家取暖。。。 2011-12-5 18:06 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 13 楼请问，SendMessageBoxA是神马函数？你创造的？我只知道SendMessageA。 bp SendMessageA OD加载F9，断下的话，继续F9，能运行。第3点上面有人说了，文件校验啊。 2011-12-5 18:30 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 14 楼笔误+失败 = 错误第三点我是这样想的哈如果确实是写INT3的第一句代码那么就不存在文件校验设因为程序首先异常断在了第一句代码然而事实不是这样而是报错 FILE ocrrupted 只有一种可能我改的代码不是第一句 OD打开自动断在的代码不是第一句？我这里是00512490 jmp GetSysIn.00590CD3 这个难道这个TLS比已经运行了啊继续查找论坛查找答案 2011-12-6 09:12 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 15 楼文西大哥你也能调试啊我用打开的方式 F9 Shift+f9都会出错直接把代码段全部清理错误是 005120B8 ED in eax,dx 这个特权指令引发吧估计是但是过滤了这个特权指令用附加的方式一定不能bp SendMessageA 马上出错这个估计是内存校验吧好吧都有方向了好像但是又不知道怎么去做 2011-12-6 09:34 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 16 楼 wine 打不開XDDD，不玩，哈哈哈 2011-12-6 09:37 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 17 楼找了一天头都晕了查了一天居然还是没搞定呢原版OD+SOD+替换DBGHELP.DLL 我SOD是0.4.3.770 和 4.5.810 2个版本并且只用了SOD插件我打开方式是先打开OD 然后用打开方法打开GetSysInfo.exe 不得不怀疑资质另外壳的头部修改INT3 可不可以在TLS回调设置啊 2011-12-6 17:19 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 18 楼建議你自己重新找plugin自己設定比較快==，不要用別人設定好的。 2011-12-6 17:52 0
惟我独尊雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 41 粉丝 0 关注私信	惟我独尊 19 楼这个2.08并没有那么复杂啊，难脱吗？反正我搞定了 2012-3-30 00:07 0
小金鱼雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	小金鱼 20 楼谁来说明清楚？？ 2012-4-1 17:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复