能力值:
( LV2,RANK:10 )
|
-
-
176 楼
顶一个,辛苦了。太有用了。
|
能力值:
( LV2,RANK:10 )
|
-
-
177 楼
天啦,楼主是上帝一般的存在
|
能力值:
( LV2,RANK:10 )
|
-
-
178 楼
不明觉厉
|
能力值:
( LV3,RANK:30 )
|
-
-
179 楼
这个必须顶!
|
能力值:
( LV13,RANK:240 )
|
-
-
180 楼
大神写的插件我只能跪拜了,实在是太好用了。。
|
能力值:
( LV3,RANK:20 )
|
-
-
181 楼
这个对CPU有要求吗。
我在intel的笔记本上启动OD没有问题,但在虚拟机中无法跑楼主的那个例子,所以又用了台式机来试。
但是转到AMD的台式机上,启动OD是就显示“读取虚拟指令信息文件错误”,我调试了一下是在RVA 7A6B3处调用39810函数返回失败。已经删除了所有其他的插件。
|
能力值:
( LV8,RANK:130 )
|
-
-
182 楼
和CPU应该没关吧,AMD的我也用过,没有问题。出错时还有其他提示吗,显示的什么错误?用的什么操作系统,是否打开DEP(数据执行保护)?
|
能力值:
( LV3,RANK:20 )
|
-
-
183 楼
用的2003 SP2。
没考虑过DEP的问题,我现在看一下。
的确是DEP的问题,把DEP从“为所有程序和服务启用数据执行保护”改为“只为关键...."后,带VMP分析插件启动od 正常。载入VMPCrackMe.exe,F2到MessageBoxA的retn,返回后选择”分析虚拟机“,显示找到5个虚拟机,用时 3.67秒。
多谢楼主!
但为什么使用DEP会导致“读取虚拟指令信息文件错误”呢,楼主的VMPFenxi.dll是用upx加的壳,难道新版的upx会在栈里执行代码吗。这个不会,昨天跟踪的时候代码都已经解开了在段中,是否UPX将程序栈设置到了当前代码段上?都是自己瞎猜的。
|
能力值:
( LV3,RANK:20 )
|
-
-
184 楼
刚才用拖了壳的插件dll在启用了DEP的同一台2003 SP2上试了,还是出现那个错误,说明这个错误和upx壳没关系。
错误截图如下:
|
能力值:
( LV8,RANK:130 )
|
-
-
185 楼
不是upx的问题,插件拦截了一些od的函数,拦截代码在new分配的内存中,没有执行权限,读取指令信息是第一个用到这些函数的地方,所以在这里出错了。我一直用xp,dep默认是关闭的,后来有人说2003系统出错我才看了一下是这个原因。
|
能力值:
( LV3,RANK:20 )
|
-
-
186 楼
多谢楼主明示
|
能力值:
( LV3,RANK:20 )
|
-
-
187 楼
分析为无效的指令就变灰色了,指令高亮没了,但是有时候分析是错的,就要去一大堆灰色指令里找。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
188 楼
牛掰啊。。。。。。。。。。。。。。
|
能力值:
( LV8,RANK:130 )
|
-
-
189 楼
如果分析错误的话可以删除分析、不识别无效指令、设置分析提示,推荐设置分析提示来解决,把对应的指令或数据设为有效就行了。
|
能力值:
( LV2,RANK:15 )
|
-
-
190 楼
楼主打算放源码?
|
能力值:
( LV8,RANK:130 )
|
-
-
191 楼
放源码是不太可能了,就这个插件的后续版本还有人不想让我放,宁可在自己手里烂着也不能让别人受益,我对此非常反感,总觉得只为自己的利益活着很没意思,但是也没办法,发这个都是废了很大劲才发出来的。
|
能力值:
( LV3,RANK:30 )
|
-
-
192 楼
一直没用,但测试过每个版本,很赞(暂时来说,是公开分析 vmp 最好的插件了 )
|
能力值:
( LV2,RANK:15 )
|
-
-
193 楼
期待LZ更优秀作品!
|
能力值:
( LV9,RANK:270 )
|
-
-
194 楼
开不开源,应该尊重楼主的决定!
很敬佩楼主的专注,坚持把一个事情做好不容易。
不理解“还有人不想让我放”,分享一个优秀的作品竟然有人会不乐意?
对几大保护软件的学习,我一开始是想从VMProtect着手的,但发现这种VM的东西仅靠手工人肉带给你的不是乐趣,而是痛苦。
有人说一定要“程序对程序”,那时已有的工具也不会用,就放弃了。
后来靠兴趣和坚持,反而将WinLicense给玩通关了。那边有一个好的工具"Oreans UnVirtualizer",其CISC部分已相当成熟,RISC还有待改进,很遗憾作者由于某些原因未再更新了。
TMD/WL我也从未玩过unpack,只玩repack - 仅关注它的注册系统。
仔细拜读了楼主的另一篇“ VMP分析插件应用实例:一个简单的CrackMe”,发现VMProtect和WinLicense开始部分的“虚拟机检测”和“调试器检测”基本采用相同的手段,其他技术也大同小异。技术核心在于VM的具体实现。
有了楼主这个“伟大的”分析工具,我想我可以开始学习VMProtect了!
如果说“VMP分析插件”是“倚天”,“Oreans UnVirtualizer”是“屠龙”,那么VMProtect和Themida/WinLicense将注定退出五岳盟主的竞争!
|
能力值:
( LV2,RANK:10 )
|
-
-
195 楼
感谢分享。。。
|
能力值:
( LV8,RANK:130 )
|
-
-
196 楼
家人不让我发,他们觉得做出来的东西不能随便给别人,不能让别人因为我的工作而受益,对自己的利益看得很重。我感觉接触过的人大部分都这样,为了自己的利益可以不管别人的感受,从小就对此很反感,也因为受不了学校的环境小学都没上完就退学了,计算机也是因为自己的爱好自学的。我讨厌只关注自己利益的人,讨厌钱,但是最终也要走上和他们一样的道路,不挣钱也活不下去,感觉在这样的社会中活得很没意思。这个插件确实花了我很大功夫,一开始手动分析,工作量太大了,于是分析懂一部分就往工具中添加一部分,然后借着工具继续分析,最后也算一层一层都做完了,其间也做过几次大的改动,因为一开始不知道完整的结构,也没办法做好设计。很多人都说我水平高,但是我觉得自己的水平自己知道,感觉做的越多学得越多也越感觉自己什么都不会。随着接触到更多东西,这个不会了找点资料学一下,那个不会了再学一下,最后越来越感觉自己不行。我感觉连我都能做出来,别人就更没问题了,尤其是那些学计算机的,用到的很多东西都是学过的,只要肯花点功夫谁都能做到。我就是这样,自己觉得有用的东西即使难度很大也能静下心去研究,遇到不会的东西就自己找资料看,我刚学逆向的时候几乎没什么公开的资料,全靠自己研究,最后也做下来了。这个插件做完后即使自己留着又能有多大用呢,就自己没事分析几个程序吗?真没意思,本来就是个研究用的东西,其实我是想放源码的,但是现在看来可能性很小了。
|
能力值:
( LV3,RANK:20 )
|
-
-
197 楼
不得不佩服一下啊,真心的。其实大多数人看到vmp就应该会理解到要去用程序来对抗,但是要实现并非简单之事。不能开源虽然有些可惜,不过也提供了一个很好的例子,运用编译器的手段能很好的对抗vmp
|
能力值:
( LV9,RANK:270 )
|
-
-
198 楼
酱紫啊。
同感,多谢回复、分享心得!
|
能力值:
( LV2,RANK:10 )
|
-
-
199 楼
更新了,最好能做一个视频教程。
|
能力值:
( LV5,RANK:60 )
|
-
-
200 楼
好贴 牛铁一定要顶 感谢楼主分享
|
|
|