[原创]VMP分析插件v1.4(2013/01/30更新)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMP分析插件v1.4(2013/01/30更新)

发表于: 2012-8-13 12:43 217975

[原创]VMP分析插件v1.4(2013/01/30更新)

zdhysd

2012-8-13 12:43

217975

查看主题内容

收藏・293

免费・11

支持

最新回复 (235) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 176 楼顶一个，辛苦了。太有用了。 2013-8-28 23:58 0
寂寞寒烟雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	寂寞寒烟 177 楼天啦，楼主是上帝一般的存在 2013-8-31 11:02 0
小雄雪币： 241 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	小雄 178 楼不明觉厉 2013-9-2 10:24 0
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 179 楼这个必须顶！ 2013-9-2 11:16 0
IamHuskar 雪币： 1392 活跃值： (5172) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 180 楼大神写的插件我只能跪拜了，实在是太好用了。。 2013-9-3 15:44 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 181 楼这个对CPU有要求吗。我在intel的笔记本上启动OD没有问题，但在虚拟机中无法跑楼主的那个例子，所以又用了台式机来试。但是转到AMD的台式机上，启动OD是就显示“读取虚拟指令信息文件错误”，我调试了一下是在RVA 7A6B3处调用39810函数返回失败。已经删除了所有其他的插件。 2013-9-3 22:06 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 182 楼和CPU应该没关吧，AMD的我也用过，没有问题。出错时还有其他提示吗，显示的什么错误？用的什么操作系统，是否打开DEP（数据执行保护）？ 2013-9-4 10:46 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 183 楼用的2003 SP2。没考虑过DEP的问题，我现在看一下。的确是DEP的问题，把DEP从“为所有程序和服务启用数据执行保护”改为“只为关键...."后，带VMP分析插件启动od 正常。载入VMPCrackMe.exe，F2到MessageBoxA的retn，返回后选择”分析虚拟机“，显示找到5个虚拟机，用时 3.67秒。多谢楼主！但为什么使用DEP会导致“读取虚拟指令信息文件错误”呢，楼主的VMPFenxi.dll是用upx加的壳，难道新版的upx会在栈里执行代码吗。这个不会，昨天跟踪的时候代码都已经解开了在段中，是否UPX将程序栈设置到了当前代码段上？都是自己瞎猜的。 2013-9-4 11:59 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 184 楼刚才用拖了壳的插件dll在启用了DEP的同一台2003 SP2上试了，还是出现那个错误，说明这个错误和upx壳没关系。错误截图如下：上传的附件： error.JPG （9.76kb，190次下载） 2013-9-4 12:24 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 185 楼不是upx的问题，插件拦截了一些od的函数，拦截代码在new分配的内存中，没有执行权限，读取指令信息是第一个用到这些函数的地方，所以在这里出错了。我一直用xp，dep默认是关闭的，后来有人说2003系统出错我才看了一下是这个原因。 2013-9-4 12:39 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 186 楼多谢楼主明示 2013-9-4 12:46 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 187 楼分析为无效的指令就变灰色了，指令高亮没了，但是有时候分析是错的，就要去一大堆灰色指令里找。。。。 2013-9-7 19:57 0
getxxx 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	getxxx 188 楼牛掰啊。。。。。。。。。。。。。。 2013-9-8 11:26 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 189 楼如果分析错误的话可以删除分析、不识别无效指令、设置分析提示，推荐设置分析提示来解决，把对应的指令或数据设为有效就行了。 2013-9-9 17:58 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 190 楼楼主打算放源码？ 2013-9-26 23:52 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 191 楼放源码是不太可能了，就这个插件的后续版本还有人不想让我放，宁可在自己手里烂着也不能让别人受益，我对此非常反感，总觉得只为自己的利益活着很没意思，但是也没办法，发这个都是废了很大劲才发出来的。 2013-9-27 12:19 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 192 楼一直没用，但测试过每个版本，很赞（暂时来说，是公开分析 vmp 最好的插件了） 2013-9-27 12:28 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 193 楼期待LZ更优秀作品！ 2013-9-27 23:39 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 194 楼开不开源，应该尊重楼主的决定！很敬佩楼主的专注，坚持把一个事情做好不容易。不理解“还有人不想让我放”，分享一个优秀的作品竟然有人会不乐意？对几大保护软件的学习，我一开始是想从VMProtect着手的，但发现这种VM的东西仅靠手工人肉带给你的不是乐趣，而是痛苦。有人说一定要“程序对程序”，那时已有的工具也不会用，就放弃了。后来靠兴趣和坚持，反而将WinLicense给玩通关了。那边有一个好的工具"Oreans UnVirtualizer"，其CISC部分已相当成熟，RISC还有待改进，很遗憾作者由于某些原因未再更新了。 TMD/WL我也从未玩过unpack，只玩repack - 仅关注它的注册系统。仔细拜读了楼主的另一篇“VMP分析插件应用实例：一个简单的CrackMe”，发现VMProtect和WinLicense开始部分的“虚拟机检测”和“调试器检测”基本采用相同的手段，其他技术也大同小异。技术核心在于VM的具体实现。有了楼主这个“伟大的”分析工具，我想我可以开始学习VMProtect了！如果说“VMP分析插件”是“倚天”，“Oreans UnVirtualizer”是“屠龙”，那么VMProtect和Themida/WinLicense将注定退出五岳盟主的竞争！ 2013-9-28 11:38 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 195 楼感谢分享。。。 2013-9-28 11:48 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 196 楼家人不让我发，他们觉得做出来的东西不能随便给别人，不能让别人因为我的工作而受益，对自己的利益看得很重。我感觉接触过的人大部分都这样，为了自己的利益可以不管别人的感受，从小就对此很反感，也因为受不了学校的环境小学都没上完就退学了，计算机也是因为自己的爱好自学的。我讨厌只关注自己利益的人，讨厌钱，但是最终也要走上和他们一样的道路，不挣钱也活不下去，感觉在这样的社会中活得很没意思。这个插件确实花了我很大功夫，一开始手动分析，工作量太大了，于是分析懂一部分就往工具中添加一部分，然后借着工具继续分析，最后也算一层一层都做完了，其间也做过几次大的改动，因为一开始不知道完整的结构，也没办法做好设计。很多人都说我水平高，但是我觉得自己的水平自己知道，感觉做的越多学得越多也越感觉自己什么都不会。随着接触到更多东西，这个不会了找点资料学一下，那个不会了再学一下，最后越来越感觉自己不行。我感觉连我都能做出来，别人就更没问题了，尤其是那些学计算机的，用到的很多东西都是学过的，只要肯花点功夫谁都能做到。我就是这样，自己觉得有用的东西即使难度很大也能静下心去研究，遇到不会的东西就自己找资料看，我刚学逆向的时候几乎没什么公开的资料，全靠自己研究，最后也做下来了。这个插件做完后即使自己留着又能有多大用呢，就自己没事分析几个程序吗？真没意思，本来就是个研究用的东西，其实我是想放源码的，但是现在看来可能性很小了。 2013-9-28 19:19 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 197 楼不得不佩服一下啊，真心的。其实大多数人看到vmp就应该会理解到要去用程序来对抗，但是要实现并非简单之事。不能开源虽然有些可惜，不过也提供了一个很好的例子，运用编译器的手段能很好的对抗vmp 2013-9-28 23:08 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 198 楼酱紫啊。同感，多谢回复、分享心得！ 2013-9-29 11:34 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 199 楼更新了，最好能做一个视频教程。 2013-10-10 14:48 0
freeGod 雪币： 418 活跃值： (1404) 能力值： ( LV5，RANK：60 ) 在线值：发帖 25 回帖 47 粉丝 37 关注私信	freeGod 1 200 楼好贴牛铁一定要顶感谢楼主分享 2013-10-31 12:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zdhysd

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (235) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 176 楼顶一个，辛苦了。太有用了。 2013-8-28 23:58 0
寂寞寒烟雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	寂寞寒烟 177 楼天啦，楼主是上帝一般的存在 2013-8-31 11:02 0
小雄雪币： 241 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 8 粉丝 0 关注私信	小雄 178 楼不明觉厉 2013-9-2 10:24 0
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 179 楼这个必须顶！ 2013-9-2 11:16 0
IamHuskar 雪币： 1392 活跃值： (5172) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 180 楼大神写的插件我只能跪拜了，实在是太好用了。。 2013-9-3 15:44 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 181 楼这个对CPU有要求吗。我在intel的笔记本上启动OD没有问题，但在虚拟机中无法跑楼主的那个例子，所以又用了台式机来试。但是转到AMD的台式机上，启动OD是就显示“读取虚拟指令信息文件错误”，我调试了一下是在RVA 7A6B3处调用39810函数返回失败。已经删除了所有其他的插件。 2013-9-3 22:06 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 182 楼和CPU应该没关吧，AMD的我也用过，没有问题。出错时还有其他提示吗，显示的什么错误？用的什么操作系统，是否打开DEP（数据执行保护）？ 2013-9-4 10:46 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 183 楼用的2003 SP2。没考虑过DEP的问题，我现在看一下。的确是DEP的问题，把DEP从“为所有程序和服务启用数据执行保护”改为“只为关键...."后，带VMP分析插件启动od 正常。载入VMPCrackMe.exe，F2到MessageBoxA的retn，返回后选择”分析虚拟机“，显示找到5个虚拟机，用时 3.67秒。多谢楼主！但为什么使用DEP会导致“读取虚拟指令信息文件错误”呢，楼主的VMPFenxi.dll是用upx加的壳，难道新版的upx会在栈里执行代码吗。这个不会，昨天跟踪的时候代码都已经解开了在段中，是否UPX将程序栈设置到了当前代码段上？都是自己瞎猜的。 2013-9-4 11:59 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 184 楼刚才用拖了壳的插件dll在启用了DEP的同一台2003 SP2上试了，还是出现那个错误，说明这个错误和upx壳没关系。错误截图如下：上传的附件： error.JPG （9.76kb，190次下载） 2013-9-4 12:24 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 185 楼不是upx的问题，插件拦截了一些od的函数，拦截代码在new分配的内存中，没有执行权限，读取指令信息是第一个用到这些函数的地方，所以在这里出错了。我一直用xp，dep默认是关闭的，后来有人说2003系统出错我才看了一下是这个原因。 2013-9-4 12:39 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 186 楼多谢楼主明示 2013-9-4 12:46 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 187 楼分析为无效的指令就变灰色了，指令高亮没了，但是有时候分析是错的，就要去一大堆灰色指令里找。。。。 2013-9-7 19:57 0
getxxx 雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 0 关注私信	getxxx 188 楼牛掰啊。。。。。。。。。。。。。。 2013-9-8 11:26 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 189 楼如果分析错误的话可以删除分析、不识别无效指令、设置分析提示，推荐设置分析提示来解决，把对应的指令或数据设为有效就行了。 2013-9-9 17:58 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 190 楼楼主打算放源码？ 2013-9-26 23:52 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 191 楼放源码是不太可能了，就这个插件的后续版本还有人不想让我放，宁可在自己手里烂着也不能让别人受益，我对此非常反感，总觉得只为自己的利益活着很没意思，但是也没办法，发这个都是废了很大劲才发出来的。 2013-9-27 12:19 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 192 楼一直没用，但测试过每个版本，很赞（暂时来说，是公开分析 vmp 最好的插件了） 2013-9-27 12:28 0
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 3 关注私信	云才哥 193 楼期待LZ更优秀作品！ 2013-9-27 23:39 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 194 楼开不开源，应该尊重楼主的决定！很敬佩楼主的专注，坚持把一个事情做好不容易。不理解“还有人不想让我放”，分享一个优秀的作品竟然有人会不乐意？对几大保护软件的学习，我一开始是想从VMProtect着手的，但发现这种VM的东西仅靠手工人肉带给你的不是乐趣，而是痛苦。有人说一定要“程序对程序”，那时已有的工具也不会用，就放弃了。后来靠兴趣和坚持，反而将WinLicense给玩通关了。那边有一个好的工具"Oreans UnVirtualizer"，其CISC部分已相当成熟，RISC还有待改进，很遗憾作者由于某些原因未再更新了。 TMD/WL我也从未玩过unpack，只玩repack - 仅关注它的注册系统。仔细拜读了楼主的另一篇“VMP分析插件应用实例：一个简单的CrackMe”，发现VMProtect和WinLicense开始部分的“虚拟机检测”和“调试器检测”基本采用相同的手段，其他技术也大同小异。技术核心在于VM的具体实现。有了楼主这个“伟大的”分析工具，我想我可以开始学习VMProtect了！如果说“VMP分析插件”是“倚天”，“Oreans UnVirtualizer”是“屠龙”，那么VMProtect和Themida/WinLicense将注定退出五岳盟主的竞争！ 2013-9-28 11:38 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 195 楼感谢分享。。。 2013-9-28 11:48 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 196 楼家人不让我发，他们觉得做出来的东西不能随便给别人，不能让别人因为我的工作而受益，对自己的利益看得很重。我感觉接触过的人大部分都这样，为了自己的利益可以不管别人的感受，从小就对此很反感，也因为受不了学校的环境小学都没上完就退学了，计算机也是因为自己的爱好自学的。我讨厌只关注自己利益的人，讨厌钱，但是最终也要走上和他们一样的道路，不挣钱也活不下去，感觉在这样的社会中活得很没意思。这个插件确实花了我很大功夫，一开始手动分析，工作量太大了，于是分析懂一部分就往工具中添加一部分，然后借着工具继续分析，最后也算一层一层都做完了，其间也做过几次大的改动，因为一开始不知道完整的结构，也没办法做好设计。很多人都说我水平高，但是我觉得自己的水平自己知道，感觉做的越多学得越多也越感觉自己什么都不会。随着接触到更多东西，这个不会了找点资料学一下，那个不会了再学一下，最后越来越感觉自己不行。我感觉连我都能做出来，别人就更没问题了，尤其是那些学计算机的，用到的很多东西都是学过的，只要肯花点功夫谁都能做到。我就是这样，自己觉得有用的东西即使难度很大也能静下心去研究，遇到不会的东西就自己找资料看，我刚学逆向的时候几乎没什么公开的资料，全靠自己研究，最后也做下来了。这个插件做完后即使自己留着又能有多大用呢，就自己没事分析几个程序吗？真没意思，本来就是个研究用的东西，其实我是想放源码的，但是现在看来可能性很小了。 2013-9-28 19:19 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 197 楼不得不佩服一下啊，真心的。其实大多数人看到vmp就应该会理解到要去用程序来对抗，但是要实现并非简单之事。不能开源虽然有些可惜，不过也提供了一个很好的例子，运用编译器的手段能很好的对抗vmp 2013-9-28 23:08 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 198 楼酱紫啊。同感，多谢回复、分享心得！ 2013-9-29 11:34 0
xingbing 雪币： 175 活跃值： (2526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 199 楼更新了，最好能做一个视频教程。 2013-10-10 14:48 0
freeGod 雪币： 418 活跃值： (1404) 能力值： ( LV5，RANK：60 ) 在线值：发帖 25 回帖 47 粉丝 37 关注私信	freeGod 1 200 楼好贴牛铁一定要顶感谢楼主分享 2013-10-31 12:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复