[原创]VMP分析插件v1.4(2013/01/30更新)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMP分析插件v1.4(2013/01/30更新)

发表于: 2012-8-13 12:43 217975

[原创]VMP分析插件v1.4(2013/01/30更新)

zdhysd

2012-8-13 12:43

217975

查看主题内容

收藏・293

免费・11

支持

最新回复 (235) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 201 楼咳，XP系统，纯净OD+少量插件，在vm虚拟机内下断点，f9或是运行到绝大多数时间都报内存错误，原因不明，郁闷中，用别的OD结果也一样，这个插件很强大，不过使用方法和注意事项滴不懂……有没有使用说明和注意哇？ 2013-11-7 13:10 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 202 楼我没遇到过这种情况，有什么提示吗？ 2013-11-8 17:22 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 203 楼 XP系统是提示某内存地址不能为read,有时是不能写。 0x00797118 指令引用的 0xffffffcb 内存，该内存不能为 written 要终止程序，请单击"确定" 我的情况是，己经分析成功，进入到了虚拟机运行的内部，并己经找到了关键的vjmp，并下好了断点，同时取消了了进入虚拟机是中断的选项，然后 F9 运行，十次可能只有一两次能运行到断点处，其它时候都是报内存错误或是直接就关闭了程序。后来怀疑可能是跟插件有冲突，先后用phantom和Strong OD 两个插件做测试，phantom出错的机率大很多，SOD要好一点，不过少不了多少，后来清空了其它插件只保留这两个插件中的一个做测试，还是一样。。。我的XP是在虚拟机中运行的，这个是否有关系？ 2013-11-9 09:08 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 204 楼听起来像是你下的断电被VMP的随机内存检测检测到了 2013-11-9 10:03 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 205 楼可有办法解决,请大虾支招~ 还有一个怪现像，灰常搞笑，就是我在测试这个问题的时候不小心改动了OD的配置文件不知道是哪里，，结果运行VMP分析插件后，测试的程序直接分别弹出了成功和失败两种情况的结果提示。。 2013-11-9 10:17 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 206 楼每次出错的地址是否相同，你那个797118是正常的汇编指令吗，还是一个随机的地方，或者是VMP写内存指令里的。如果随机出错的话可能是虚拟机里用vCheck检查时发现断点了，一般只有退出虚拟机前才会用vCheck，你可以在前面的vRet设断点试试，是否返回到随机的位置。如果是VMP写内存指令比如vWriteMem里的，可能是计算常量时读取到了断点，但是这是固定的，一般不会随机出错。 2013-11-9 12:31 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 207 楼 797118是一处非法的地址，是一片的0指令，这个地址是随机的，也不会总是在虚拟机的同一个语句后引发，跟踪是出错的地方经过vCheck己经有几个vRet了，vRet处下断结果也一样，而且我发现关掉OD重新开启调试时进入虚拟机断不下来，不管是否有设置入虚拟机下断这个选项，我这个测试的软件没有加VM壳，只是VM了一个CALL的代码，在另一个有加VMP壳的软件上，就是楼主发靓的那个简单测试的CM,也是经常报错，而且重载后运行一般只能看到在插件标示虚拟机 vRet 的断点上闪，然后报错，系统重装过，XP,win7都试了，插件也加加减减试了很多次，不知道是不是硬件的问题，晚上拿一台台式机试试。我现在用来测试的是笔记本 i7 + 8G +ssd + win7 x64 开虚拟机 XP sp3 安装版的环境测试,的。不开虚拟机直接在主系统也测试过。 2013-11-9 17:15 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 208 楼设了断点后才出错吗，这个现象一般都是vCheck检测后vRet返回到错误地址了，你从头跟一下到底是哪里出的错，如果是其他指令的话就不知道怎么回事了，我没遇到过这种情况。 2013-11-9 22:27 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 209 楼可能就是断点检测的问题，一些版本的OD直接就提示断点错误 ,提示要求恢复还是保留己修改的断点(这个断点是由分析插件控制的。无法手动改成硬件断点)，能过这一步的OD接下来会时不时的报错，保计是也并不稳定。。。看了下VirtualProtect函数，好像又没什么关联，算了，暂时不搞了，浪费了几天的时间。同时对楼主对VMP的研究所付出的努力表示赞~~什么时候国人有自己的调试器就好嘞~~ 2013-11-11 11:31 0
小龙飞雪币： 255 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	小龙飞 210 楼小菜前来膜拜楼主大牛.... 2013-11-27 16:57 0
wahyy 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	wahyy 211 楼感谢楼主，很厉害！真的！ 2013-12-5 12:17 0
Fleeting时间雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Fleeting时间 212 楼灰常感谢楼主这插件好强大比fkvmp人性化了好多！！！ 2014-2-2 23:34 0
寂静的时光雪币： 35 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	寂静的时光 213 楼收藏了，谢谢楼主.. 2014-2-6 13:37 0
michaellch 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	michaellch 214 楼虽然神器的一些高级功能还不太会用，但不忘赞叹楼主的分享精神~~ 2014了，希望楼主能在不久的将来分享一下源码，v1.2版本的也好 2014-2-10 01:23 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 215 楼貌似是个很流弊的东西，收藏下来慢慢研究 2014-2-10 10:29 0
disasterhk 雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	disasterhk 216 楼感谢感谢，正需要。。。向作者敬礼了！ 2014-4-16 03:30 0
wtttttt 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wtttttt 217 楼收藏，学习！ 2014-5-13 22:00 0
alonglan 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	alonglan 218 楼好东西~~ 先收藏了 2014-5-16 16:48 0
yeskysong 雪币： 128 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 57 粉丝 0 关注私信	yeskysong 219 楼强人需要膜拜，这个真的猛。。 2014-6-8 21:39 0
korgame 雪币： 9 活跃值： (58) 能力值： (RANK：10 ) 在线值：发帖 11 回帖 20 粉丝 0 关注私信	korgame 220 楼总是崩溃啊插件。。 2014-9-11 10:59 0
korgame 雪币： 9 活跃值： (58) 能力值： (RANK：10 ) 在线值：发帖 11 回帖 20 粉丝 0 关注私信	korgame 221 楼大牛我用你的插件分析怎么老是崩溃是啥原因引起的？ 2014-9-11 11:09 0
korgame 雪币： 9 活跃值： (58) 能力值： (RANK：10 ) 在线值：发帖 11 回帖 20 粉丝 0 关注私信	korgame 222 楼你是用的什么版本的 OD啊？ 2014-9-11 15:35 0
靜夜星痕雪币： 100 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	靜夜星痕 223 楼收藏了，谢谢LZ.. 2014-9-11 16:55 0
成啊水雪币： 13 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 84 粉丝 0 关注私信	成啊水 225 楼做个视频教程吧，用个简单的cm ，分析下寻找关键跳 2014-11-8 23:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zdhysd

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (235) ◀ 1 2 3 4 5 6 7 8 9 10 ▶
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 201 楼咳，XP系统，纯净OD+少量插件，在vm虚拟机内下断点，f9或是运行到绝大多数时间都报内存错误，原因不明，郁闷中，用别的OD结果也一样，这个插件很强大，不过使用方法和注意事项滴不懂……有没有使用说明和注意哇？ 2013-11-7 13:10 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 202 楼我没遇到过这种情况，有什么提示吗？ 2013-11-8 17:22 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 203 楼 XP系统是提示某内存地址不能为read,有时是不能写。 0x00797118 指令引用的 0xffffffcb 内存，该内存不能为 written 要终止程序，请单击"确定" 我的情况是，己经分析成功，进入到了虚拟机运行的内部，并己经找到了关键的vjmp，并下好了断点，同时取消了了进入虚拟机是中断的选项，然后 F9 运行，十次可能只有一两次能运行到断点处，其它时候都是报内存错误或是直接就关闭了程序。后来怀疑可能是跟插件有冲突，先后用phantom和Strong OD 两个插件做测试，phantom出错的机率大很多，SOD要好一点，不过少不了多少，后来清空了其它插件只保留这两个插件中的一个做测试，还是一样。。。我的XP是在虚拟机中运行的，这个是否有关系？ 2013-11-9 09:08 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 204 楼听起来像是你下的断电被VMP的随机内存检测检测到了 2013-11-9 10:03 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 205 楼可有办法解决,请大虾支招~ 还有一个怪现像，灰常搞笑，就是我在测试这个问题的时候不小心改动了OD的配置文件不知道是哪里，，结果运行VMP分析插件后，测试的程序直接分别弹出了成功和失败两种情况的结果提示。。 2013-11-9 10:17 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 206 楼每次出错的地址是否相同，你那个797118是正常的汇编指令吗，还是一个随机的地方，或者是VMP写内存指令里的。如果随机出错的话可能是虚拟机里用vCheck检查时发现断点了，一般只有退出虚拟机前才会用vCheck，你可以在前面的vRet设断点试试，是否返回到随机的位置。如果是VMP写内存指令比如vWriteMem里的，可能是计算常量时读取到了断点，但是这是固定的，一般不会随机出错。 2013-11-9 12:31 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 207 楼 797118是一处非法的地址，是一片的0指令，这个地址是随机的，也不会总是在虚拟机的同一个语句后引发，跟踪是出错的地方经过vCheck己经有几个vRet了，vRet处下断结果也一样，而且我发现关掉OD重新开启调试时进入虚拟机断不下来，不管是否有设置入虚拟机下断这个选项，我这个测试的软件没有加VM壳，只是VM了一个CALL的代码，在另一个有加VMP壳的软件上，就是楼主发靓的那个简单测试的CM,也是经常报错，而且重载后运行一般只能看到在插件标示虚拟机 vRet 的断点上闪，然后报错，系统重装过，XP,win7都试了，插件也加加减减试了很多次，不知道是不是硬件的问题，晚上拿一台台式机试试。我现在用来测试的是笔记本 i7 + 8G +ssd + win7 x64 开虚拟机 XP sp3 安装版的环境测试,的。不开虚拟机直接在主系统也测试过。 2013-11-9 17:15 0
zdhysd 雪币： 1270 活跃值： (230) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 75 粉丝 17 关注私信	zdhysd 3 208 楼设了断点后才出错吗，这个现象一般都是vCheck检测后vRet返回到错误地址了，你从头跟一下到底是哪里出的错，如果是其他指令的话就不知道怎么回事了，我没遇到过这种情况。 2013-11-9 22:27 0
kxplayer 雪币： 611 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	kxplayer 209 楼可能就是断点检测的问题，一些版本的OD直接就提示断点错误 ,提示要求恢复还是保留己修改的断点(这个断点是由分析插件控制的。无法手动改成硬件断点)，能过这一步的OD接下来会时不时的报错，保计是也并不稳定。。。看了下VirtualProtect函数，好像又没什么关联，算了，暂时不搞了，浪费了几天的时间。同时对楼主对VMP的研究所付出的努力表示赞~~什么时候国人有自己的调试器就好嘞~~ 2013-11-11 11:31 0
小龙飞雪币： 255 活跃值： (207) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 41 粉丝 0 关注私信	小龙飞 210 楼小菜前来膜拜楼主大牛.... 2013-11-27 16:57 0
wahyy 雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	wahyy 211 楼感谢楼主，很厉害！真的！ 2013-12-5 12:17 0
Fleeting时间雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	Fleeting时间 212 楼灰常感谢楼主这插件好强大比fkvmp人性化了好多！！！ 2014-2-2 23:34 0
寂静的时光雪币： 35 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	寂静的时光 213 楼收藏了，谢谢楼主.. 2014-2-6 13:37 0
michaellch 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	michaellch 214 楼虽然神器的一些高级功能还不太会用，但不忘赞叹楼主的分享精神~~ 2014了，希望楼主能在不久的将来分享一下源码，v1.2版本的也好 2014-2-10 01:23 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 215 楼貌似是个很流弊的东西，收藏下来慢慢研究 2014-2-10 10:29 0
disasterhk 雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	disasterhk 216 楼感谢感谢，正需要。。。向作者敬礼了！ 2014-4-16 03:30 0
wtttttt 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	wtttttt 217 楼收藏，学习！ 2014-5-13 22:00 0
alonglan 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	alonglan 218 楼好东西~~ 先收藏了 2014-5-16 16:48 0
yeskysong 雪币： 128 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 57 粉丝 0 关注私信	yeskysong 219 楼强人需要膜拜，这个真的猛。。 2014-6-8 21:39 0
korgame 雪币： 9 活跃值： (58) 能力值： (RANK：10 ) 在线值：发帖 11 回帖 20 粉丝 0 关注私信	korgame 220 楼总是崩溃啊插件。。 2014-9-11 10:59 0
korgame 雪币： 9 活跃值： (58) 能力值： (RANK：10 ) 在线值：发帖 11 回帖 20 粉丝 0 关注私信	korgame 221 楼大牛我用你的插件分析怎么老是崩溃是啥原因引起的？ 2014-9-11 11:09 0
korgame 雪币： 9 活跃值： (58) 能力值： (RANK：10 ) 在线值：发帖 11 回帖 20 粉丝 0 关注私信	korgame 222 楼你是用的什么版本的 OD啊？ 2014-9-11 15:35 0
靜夜星痕雪币： 100 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	靜夜星痕 223 楼收藏了，谢谢LZ.. 2014-9-11 16:55 0
成啊水雪币： 13 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 84 粉丝 0 关注私信	成啊水 225 楼做个视频教程吧，用个简单的cm ，分析下寻找关键跳 2014-11-8 23:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复