首页
社区
课程
招聘
[原创]VMP分析插件v1.4(2013/01/30更新)
发表于: 2012-8-13 12:43 217975

[原创]VMP分析插件v1.4(2013/01/30更新)

2012-8-13 12:43
217975
收藏
免费 11
支持
分享
最新回复 (235)
雪    币: 211
活跃值: (118)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
176
顶一个,辛苦了。太有用了。
2013-8-28 23:58
0
雪    币: 27
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
177
天啦,楼主是上帝一般的存在
2013-8-31 11:02
0
雪    币: 241
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
178
不明觉厉
2013-9-2 10:24
0
雪    币: 108
活跃值: (44)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
179
这个必须顶!
2013-9-2 11:16
0
雪    币: 1392
活跃值: (5172)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
180
大神写的插件我只能跪拜了,实在是太好用了。。
2013-9-3 15:44
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
181
这个对CPU有要求吗。
我在intel的笔记本上启动OD没有问题,但在虚拟机中无法跑楼主的那个例子,所以又用了台式机来试。
但是转到AMD的台式机上,启动OD是就显示“读取虚拟指令信息文件错误”,我调试了一下是在RVA 7A6B3处调用39810函数返回失败。已经删除了所有其他的插件。
2013-9-3 22:06
0
雪    币: 1270
活跃值: (230)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
182
和CPU应该没关吧,AMD的我也用过,没有问题。出错时还有其他提示吗,显示的什么错误?用的什么操作系统,是否打开DEP(数据执行保护)?
2013-9-4 10:46
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
183
用的2003 SP2。
没考虑过DEP的问题,我现在看一下。

的确是DEP的问题,把DEP从“为所有程序和服务启用数据执行保护”改为“只为关键...."后,带VMP分析插件启动od 正常。载入VMPCrackMe.exe,F2到MessageBoxA的retn,返回后选择”分析虚拟机“,显示找到5个虚拟机,用时 3.67秒。

多谢楼主!

但为什么使用DEP会导致“读取虚拟指令信息文件错误”呢,楼主的VMPFenxi.dll是用upx加的壳,难道新版的upx会在栈里执行代码吗。这个不会,昨天跟踪的时候代码都已经解开了在段中,是否UPX将程序栈设置到了当前代码段上?都是自己瞎猜的。
2013-9-4 11:59
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
184
刚才用拖了壳的插件dll在启用了DEP的同一台2003 SP2上试了,还是出现那个错误,说明这个错误和upx壳没关系。
错误截图如下:
上传的附件:
2013-9-4 12:24
0
雪    币: 1270
活跃值: (230)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
185
不是upx的问题,插件拦截了一些od的函数,拦截代码在new分配的内存中,没有执行权限,读取指令信息是第一个用到这些函数的地方,所以在这里出错了。我一直用xp,dep默认是关闭的,后来有人说2003系统出错我才看了一下是这个原因。
2013-9-4 12:39
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
186
多谢楼主明示
2013-9-4 12:46
0
雪    币: 81
活跃值: (100)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
187
分析为无效的指令就变灰色了,指令高亮没了,但是有时候分析是错的,就要去一大堆灰色指令里找。。。。
2013-9-7 19:57
0
雪    币: 54
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
188
牛掰啊。。。。。。。。。。。。。。
2013-9-8 11:26
0
雪    币: 1270
活跃值: (230)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
189
如果分析错误的话可以删除分析、不识别无效指令、设置分析提示,推荐设置分析提示来解决,把对应的指令或数据设为有效就行了。
2013-9-9 17:58
0
雪    币: 222
活跃值: (185)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
190
楼主打算放源码?
2013-9-26 23:52
0
雪    币: 1270
活跃值: (230)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
191
放源码是不太可能了,就这个插件的后续版本还有人不想让我放,宁可在自己手里烂着也不能让别人受益,我对此非常反感,总觉得只为自己的利益活着很没意思,但是也没办法,发这个都是废了很大劲才发出来的。
2013-9-27 12:19
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
192
一直没用,但测试过每个版本,很赞(暂时来说,是公开分析 vmp 最好的插件了 )
2013-9-27 12:28
0
雪    币: 222
活跃值: (185)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
193
期待LZ更优秀作品!
2013-9-27 23:39
0
雪    币: 627
活跃值: (663)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
194
开不开源,应该尊重楼主的决定!
很敬佩楼主的专注,坚持把一个事情做好不容易。
不理解“还有人不想让我放”,分享一个优秀的作品竟然有人会不乐意?

对几大保护软件的学习,我一开始是想从VMProtect着手的,但发现这种VM的东西仅靠手工人肉带给你的不是乐趣,而是痛苦。
有人说一定要“程序对程序”,那时已有的工具也不会用,就放弃了。

后来靠兴趣和坚持,反而将WinLicense给玩通关了。那边有一个好的工具"Oreans UnVirtualizer",其CISC部分已相当成熟,RISC还有待改进,很遗憾作者由于某些原因未再更新了。

TMD/WL我也从未玩过unpack,只玩repack - 仅关注它的注册系统。
仔细拜读了楼主的另一篇“VMP分析插件应用实例:一个简单的CrackMe”,发现VMProtect和WinLicense开始部分的“虚拟机检测”和“调试器检测”基本采用相同的手段,其他技术也大同小异。技术核心在于VM的具体实现。

有了楼主这个“伟大的”分析工具,我想我可以开始学习VMProtect了!

如果说“VMP分析插件”是“倚天”,“Oreans UnVirtualizer”是“屠龙”,那么VMProtect和Themida/WinLicense将注定退出五岳盟主的竞争!
2013-9-28 11:38
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
195
感谢分享。。。
2013-9-28 11:48
0
雪    币: 1270
活跃值: (230)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
196
家人不让我发,他们觉得做出来的东西不能随便给别人,不能让别人因为我的工作而受益,对自己的利益看得很重。我感觉接触过的人大部分都这样,为了自己的利益可以不管别人的感受,从小就对此很反感,也因为受不了学校的环境小学都没上完就退学了,计算机也是因为自己的爱好自学的。我讨厌只关注自己利益的人,讨厌钱,但是最终也要走上和他们一样的道路,不挣钱也活不下去,感觉在这样的社会中活得很没意思。这个插件确实花了我很大功夫,一开始手动分析,工作量太大了,于是分析懂一部分就往工具中添加一部分,然后借着工具继续分析,最后也算一层一层都做完了,其间也做过几次大的改动,因为一开始不知道完整的结构,也没办法做好设计。很多人都说我水平高,但是我觉得自己的水平自己知道,感觉做的越多学得越多也越感觉自己什么都不会。随着接触到更多东西,这个不会了找点资料学一下,那个不会了再学一下,最后越来越感觉自己不行。我感觉连我都能做出来,别人就更没问题了,尤其是那些学计算机的,用到的很多东西都是学过的,只要肯花点功夫谁都能做到。我就是这样,自己觉得有用的东西即使难度很大也能静下心去研究,遇到不会的东西就自己找资料看,我刚学逆向的时候几乎没什么公开的资料,全靠自己研究,最后也做下来了。这个插件做完后即使自己留着又能有多大用呢,就自己没事分析几个程序吗?真没意思,本来就是个研究用的东西,其实我是想放源码的,但是现在看来可能性很小了。
2013-9-28 19:19
0
雪    币: 81
活跃值: (100)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
197
不得不佩服一下啊,真心的。其实大多数人看到vmp就应该会理解到要去用程序来对抗,但是要实现并非简单之事。不能开源虽然有些可惜,不过也提供了一个很好的例子,运用编译器的手段能很好的对抗vmp
2013-9-28 23:08
0
雪    币: 627
活跃值: (663)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
198
酱紫啊。
同感,多谢回复、分享心得!
2013-9-29 11:34
0
雪    币: 175
活跃值: (2526)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
199
更新了,最好能做一个视频教程。
2013-10-10 14:48
0
雪    币: 418
活跃值: (1404)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
200
好贴 牛铁一定要顶 感谢楼主分享
2013-10-31 12:32
0
游客
登录 | 注册 方可回帖
返回
//