[原创]发一个自认为有亮点的cm无smc vm p—code（抵御一般高手20分钟）-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]发一个自认为有亮点的cm无smc vm p—code（抵御一般高手20分钟）

发表于: 2012-1-6 20:15 17335

[原创]发一个自认为有亮点的cm无smc vm p—code（抵御一般高手20分钟）

rqqeq

2012-1-6 20:15

17335

一个vb6编写的cm，自然编译
成功text框出现”win“
加了几个假验证
真的在消……
很有亮点的
加了个压缩壳然后自己处理了一下防止直接静态跑源码
大家来试试

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

11111111.rar （53.92kb，57次下载）

收藏・2

免费・6

支持

最新回复 (31) 1 2 ▶
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2 楼哇有十个下载的……但是貌似没有一个搞定的…… 2012-1-6 21:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼看来把验证放在消息循环里是一个好方法呵呵 2012-1-7 14:01 0
tunshizhe 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tunshizhe 4 楼这是个什么提示。乱码上传的附件： rrr.zip （55.54kb，6次下载） 2012-1-7 14:30 0
羊豁豁雪币： 588 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	羊豁豁 5 楼不擅长脱壳在ida加载,运行起来后暂停,在40000发现了Mz doshead,PE head 下来发现了vb5!...vb的标准结构.发现了form1,timer1... 在导入表发现了debugbread这些东西. 这些东西在运行前找不到,退出运行后这些地址的东西又变化了... 大概用了自己用调试命令干扰ida的东西. 还在继续分析中ing... 2012-1-7 18:15 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 6 楼我对你的算法不感兴趣最让我感兴趣的是尽然在虚拟机中无法运行有点意思随后就看了一下我给你贴一段 #include <Windows.h> #include <stdio.h> void main() { byte lpTest[]={"\x8b\x4c\x24\x04\x0f\x01\x09\xc3"}; byte lpbutter[MAX_PATH]={0}; CallWindowProcW((WNDPROC)&lpTest,(HWND)&lpbutter,0,0,0); if (lpbutter[5]>0xd0) { printf("虚拟机"); } else { printf("是真实机器"); } getchar(); } 再来个脱了壳的程序吧上传的附件： 1.rar （53.21kb，15次下载） 2012-1-7 21:27 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 7 楼但是我一直好奇这是为什么网上貌似也没有应该是你自己发现的吧 2012-1-7 21:29 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 8 楼晕死……你买椟还珠了……改研究反调试了…… 2012-1-8 18:08 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼其实还反附加的说…… 2012-1-8 18:09 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼简单来说……你就是中圈套了……这是是假验证真的在消息循环中 2012-1-8 18:10 0
zenix 雪币： 2411 活跃值： (1412) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 11 楼根本就运行不了啊下载了 6 楼的脱壳版，运行以后也是一闪而过，直接退出。上传的附件： 11111111.jpg （15.94kb，481次下载） 2012-1-9 11:04 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 12 楼脱壳后只能在真实机器中跑他有反虚拟机机制 2012-1-9 11:40 0
zenix 雪币： 2411 活跃值： (1412) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 13 楼我是 Win7 真机。两个文件都无法运行。 2012-1-9 17:46 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 14 楼你是不是开了调试器……要解压以后运行……盗版系统可能出现误判……要不就是64位系统…… 2012-1-9 18:18 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 15 楼我上面不是贴了反虚拟机的源码你编译一下看看能否通过 2012-1-10 09:35 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 16 楼我最爱玩变态的CM了。哈哈 2012-1-10 09:56 0
羊豁豁雪币： 588 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	羊豁豁 17 楼 nnd,换个机子,xp+sp3下也窗口闪一下就出去了. 即使没有瑞星这种垃圾,也是一闪就没. 唉,纵然反调试,加密做的好,没有稳定性也没有前途呀. 2012-1-10 10:45 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 18 楼爆破来着? 还是有注册码? 2012-1-10 16:32 0
AsmDebuger 雪币： 1270 活跃值： (109) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 362 粉丝 1 关注私信	AsmDebuger 1 19 楼很少有让S大感兴趣的帖子了. 2012-1-10 16:44 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 20 楼让大Z连跑都不能跑的CM我也只会爆破了附件是脱了壳爆破'Win2000' XP' Win7真机应该都能跑的版本注册方法: 　执行后点击Command1按钮使之触发某开关(会弹出Wrong) 　键盘随便按37个键, 上面那个 Text便会显示 win 了向楼主求注册码上传的附件： 1.jpg （14.00kb，201次下载） d3_.rar （52.65kb，6次下载） 2012-1-10 19:57 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 21 楼扔个脱壳+修复的。大S我比你慢一步！上传的附件： dumped_.rar （53.61kb，8次下载） 2012-1-11 10:47 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 22 楼网兄认为有正常的注册方式吗? (text显示'win') 除了爆条件式, 我认为没有. 2012-1-11 11:25 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 23 楼就是aes加一些判断啊…… 2012-1-11 13:50 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 24 楼不是你说谎就是我傻了请公布呈现'win'的注册方法 2012-1-12 09:06 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 25 楼核心代码： Private Sub a() Dim t123 If qqqqqqqqqq = 1 Then Dim z z = 计算解密(oo(1) & oo(2) & oo(3) & oo(4) & oo(5) & oo(6) & oo(7) & oo(8) & oo(9) & oo(10) & oo(11) & oo(12) & oo(13) & oo(14) & oo(15) & oo(16) & oo(17) & oo(18) & oo(19) & oo(20) & oo(21) & oo(22) & oo(23) & oo(24) & oo(25) & oo(26) & oo(27) & oo(28) & oo(29) & oo(30) & oo(31) & oo(32), oo(33) & oo(34) & oo(35) & oo(36) & oo(37)) Dim ykk ykk = "123qww" If z = ykk Then t123 = 0 ykk = "asadsadasd" If z = ykk Then t123 = 1 ykk = "sd121212d" ykk = "123qww" If z = ykk Then t123 = 2 ykk = "1212aadc1" If z = ykk Then t123 = 3 ykk = "uuuuu3333" If z = ykk Then t123 = 4 ykk = "dee1121212" If z = ykk Then t123 = 5 ykk = "ss2222222111" If z = ykk Then t123 = 6 ykk = "21eeee1212" If z = ykk Then t123 = 7 ykk = "21212" If z = ykk Then t123 = 8 ykk = "21212a12" If z = ykk Then t123 = 9 ''''' ykk = "rqqeq0xa1" If z = ykk Then t123 = 10 ykk = "767567sasas" If z = ykk Then t123 = 11 ykk = "222ssssss2" If z = ykk Then t123 = 12 ykk = "ww111111ss" If z = ykk Then t123 = 13 ykk = "asas12122" If z = ykk Then t123 = 14 ykk = "21zzzzz12" If z = ykk Then t123 = 15 ykk = "212sssaaaaa2" If z = ykk Then t123 = 16 ykk = "ssss1ddd" If z = ykk Then t123 = 17 ykk = "2dddddd1555" If z = ykk Then t123 = 18 If t123 = 0 Then a0 If t123 = 1 Then a1 If t123 = 2 Then a2 If t123 = 3 Then a3 If t123 = 4 Then a4 If t123 = 5 Then a5 If t123 = 6 Then a6 If t123 = 7 Then a7 If t123 = 8 Then a8 If t123 = 9 Then a9 ''''' If t123 = 10 Then a10 If t123 = 11 Then a11 If t123 = 12 Then a12 If t123 = 13 Then a13 If t123 = 14 Then a14 If t123 = 15 Then a15 If t123 = 16 Then a16 If t123 = 17 Then a17 If t123 = 18 Then a18 End If End Sub Private Sub a0() End Sub Private Sub a1() End Sub Private Sub a2() End Sub Private Sub a3() End Sub Private Sub a4() End Sub Private Sub a5() End Sub Private Sub a6() End Sub Private Sub a7() End Sub Private Sub a8() End Sub Private Sub a9() ''''' If z = rqqeq0xa1 Then Form1.Text1 = "w" & "i" & "n" End Sub Private Sub a10() End Sub Private Sub a11() End Sub Private Sub a12() End Sub Private Sub a13() End Sub Private Sub a14() End Sub Private Sub a15() End Sub Private Sub a16() End Sub Private Sub a17() End Sub Private Sub a18() End Sub 2012-1-12 11:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

rqqeq

发帖

908

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 2 楼哇有十个下载的……但是貌似没有一个搞定的…… 2012-1-6 21:59 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 3 楼看来把验证放在消息循环里是一个好方法呵呵 2012-1-7 14:01 0
tunshizhe 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	tunshizhe 4 楼这是个什么提示。乱码上传的附件： rrr.zip （55.54kb，6次下载） 2012-1-7 14:30 0
羊豁豁雪币： 588 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	羊豁豁 5 楼不擅长脱壳在ida加载,运行起来后暂停,在40000发现了Mz doshead,PE head 下来发现了vb5!...vb的标准结构.发现了form1,timer1... 在导入表发现了debugbread这些东西. 这些东西在运行前找不到,退出运行后这些地址的东西又变化了... 大概用了自己用调试命令干扰ida的东西. 还在继续分析中ing... 2012-1-7 18:15 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 6 楼我对你的算法不感兴趣最让我感兴趣的是尽然在虚拟机中无法运行有点意思随后就看了一下我给你贴一段 #include <Windows.h> #include <stdio.h> void main() { byte lpTest[]={"\x8b\x4c\x24\x04\x0f\x01\x09\xc3"}; byte lpbutter[MAX_PATH]={0}; CallWindowProcW((WNDPROC)&lpTest,(HWND)&lpbutter,0,0,0); if (lpbutter[5]>0xd0) { printf("虚拟机"); } else { printf("是真实机器"); } getchar(); } 再来个脱了壳的程序吧上传的附件： 1.rar （53.21kb，15次下载） 2012-1-7 21:27 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 7 楼但是我一直好奇这是为什么网上貌似也没有应该是你自己发现的吧 2012-1-7 21:29 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 8 楼晕死……你买椟还珠了……改研究反调试了…… 2012-1-8 18:08 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼其实还反附加的说…… 2012-1-8 18:09 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼简单来说……你就是中圈套了……这是是假验证真的在消息循环中 2012-1-8 18:10 0
zenix 雪币： 2411 活跃值： (1412) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 11 楼根本就运行不了啊下载了 6 楼的脱壳版，运行以后也是一闪而过，直接退出。上传的附件： 11111111.jpg （15.94kb，481次下载） 2012-1-9 11:04 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 12 楼脱壳后只能在真实机器中跑他有反虚拟机机制 2012-1-9 11:40 0
zenix 雪币： 2411 活跃值： (1412) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 13 楼我是 Win7 真机。两个文件都无法运行。 2012-1-9 17:46 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 14 楼你是不是开了调试器……要解压以后运行……盗版系统可能出现误判……要不就是64位系统…… 2012-1-9 18:18 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 15 楼我上面不是贴了反虚拟机的源码你编译一下看看能否通过 2012-1-10 09:35 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 16 楼我最爱玩变态的CM了。哈哈 2012-1-10 09:56 0
羊豁豁雪币： 588 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	羊豁豁 17 楼 nnd,换个机子,xp+sp3下也窗口闪一下就出去了. 即使没有瑞星这种垃圾,也是一闪就没. 唉,纵然反调试,加密做的好,没有稳定性也没有前途呀. 2012-1-10 10:45 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 18 楼爆破来着? 还是有注册码? 2012-1-10 16:32 0
AsmDebuger 雪币： 1270 活跃值： (109) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 362 粉丝 1 关注私信	AsmDebuger 1 19 楼很少有让S大感兴趣的帖子了. 2012-1-10 16:44 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 20 楼让大Z连跑都不能跑的CM我也只会爆破了附件是脱了壳爆破'Win2000' XP' Win7真机应该都能跑的版本注册方法: 　执行后点击Command1按钮使之触发某开关(会弹出Wrong) 　键盘随便按37个键, 上面那个 Text便会显示 win 了向楼主求注册码上传的附件： 1.jpg （14.00kb，201次下载） d3_.rar （52.65kb，6次下载） 2012-1-10 19:57 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 21 楼扔个脱壳+修复的。大S我比你慢一步！上传的附件： dumped_.rar （53.61kb，8次下载） 2012-1-11 10:47 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 22 楼网兄认为有正常的注册方式吗? (text显示'win') 除了爆条件式, 我认为没有. 2012-1-11 11:25 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 23 楼就是aes加一些判断啊…… 2012-1-11 13:50 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 24 楼不是你说谎就是我傻了请公布呈现'win'的注册方法 2012-1-12 09:06 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 25 楼核心代码： Private Sub a() Dim t123 If qqqqqqqqqq = 1 Then Dim z z = 计算解密(oo(1) & oo(2) & oo(3) & oo(4) & oo(5) & oo(6) & oo(7) & oo(8) & oo(9) & oo(10) & oo(11) & oo(12) & oo(13) & oo(14) & oo(15) & oo(16) & oo(17) & oo(18) & oo(19) & oo(20) & oo(21) & oo(22) & oo(23) & oo(24) & oo(25) & oo(26) & oo(27) & oo(28) & oo(29) & oo(30) & oo(31) & oo(32), oo(33) & oo(34) & oo(35) & oo(36) & oo(37)) Dim ykk ykk = "123qww" If z = ykk Then t123 = 0 ykk = "asadsadasd" If z = ykk Then t123 = 1 ykk = "sd121212d" ykk = "123qww" If z = ykk Then t123 = 2 ykk = "1212aadc1" If z = ykk Then t123 = 3 ykk = "uuuuu3333" If z = ykk Then t123 = 4 ykk = "dee1121212" If z = ykk Then t123 = 5 ykk = "ss2222222111" If z = ykk Then t123 = 6 ykk = "21eeee1212" If z = ykk Then t123 = 7 ykk = "21212" If z = ykk Then t123 = 8 ykk = "21212a12" If z = ykk Then t123 = 9 ''''' ykk = "rqqeq0xa1" If z = ykk Then t123 = 10 ykk = "767567sasas" If z = ykk Then t123 = 11 ykk = "222ssssss2" If z = ykk Then t123 = 12 ykk = "ww111111ss" If z = ykk Then t123 = 13 ykk = "asas12122" If z = ykk Then t123 = 14 ykk = "21zzzzz12" If z = ykk Then t123 = 15 ykk = "212sssaaaaa2" If z = ykk Then t123 = 16 ykk = "ssss1ddd" If z = ykk Then t123 = 17 ykk = "2dddddd1555" If z = ykk Then t123 = 18 If t123 = 0 Then a0 If t123 = 1 Then a1 If t123 = 2 Then a2 If t123 = 3 Then a3 If t123 = 4 Then a4 If t123 = 5 Then a5 If t123 = 6 Then a6 If t123 = 7 Then a7 If t123 = 8 Then a8 If t123 = 9 Then a9 ''''' If t123 = 10 Then a10 If t123 = 11 Then a11 If t123 = 12 Then a12 If t123 = 13 Then a13 If t123 = 14 Then a14 If t123 = 15 Then a15 If t123 = 16 Then a16 If t123 = 17 Then a17 If t123 = 18 Then a18 End If End Sub Private Sub a0() End Sub Private Sub a1() End Sub Private Sub a2() End Sub Private Sub a3() End Sub Private Sub a4() End Sub Private Sub a5() End Sub Private Sub a6() End Sub Private Sub a7() End Sub Private Sub a8() End Sub Private Sub a9() ''''' If z = rqqeq0xa1 Then Form1.Text1 = "w" & "i" & "n" End Sub Private Sub a10() End Sub Private Sub a11() End Sub Private Sub a12() End Sub Private Sub a13() End Sub Private Sub a14() End Sub Private Sub a15() End Sub Private Sub a16() End Sub Private Sub a17() End Sub Private Sub a18() End Sub 2012-1-12 11:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复