[求助][讨论]脱VMP 猛壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

3

[求助][讨论]脱VMP 猛壳

发表于: 2013-7-3 10:27 22538

[求助][讨论]脱VMP 猛壳

tiantianai 活跃值

活跃值

2013-7-3 10:27

22538

od用插件脱VMP。
脱壳之前

脱壳之后

插件脱壳后可以运行，现在的问题是：
1.脱壳后是否还有另外的壳？
2.脱壳后如果没有其他的壳，那么VMP0，VMP1那两个区段是否可以删除？
3..ximo 这个新增的区段是什么？
4.脱壳后体积增大，如何去除VMP壳代码缩小体积。
M为带壳文件。
De_M为脱壳后文件。
http://pan.baidu.com/share/link?shareid=1710741091&uk=53548759

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

免费

支持

分享

最新回复 (13)
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼 vmp0,vmp1 可以删掉， .ximo 是插件作者把启动恢复 iat 等动作放在这个区段了（该插件作者主要吸取了老外那脚本的脱壳方式，所以启动的时候要从 .ximo 启动，而不是原 oep ) 2013-7-3 11:03 0
tiantianai 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 56 粉丝 0 关注私信	tiantianai 3 楼谢谢，你把我的四个问题都给回复了。而且解释的很清楚。第四个问题应该是在删除了VMP0，VMP1基础后，文件体积就应该缩小了。追问一下删除VMP0，VMP1的工具，方法。我试着删除但是发生错误了。一定是我做的方法不对。希望前辈能继续帮助。 2013-7-3 11:33 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 4 楼补充一下，你的附件我没下 vmp0 , vmp1 等区段，删不删出，是在于该程序内部有没有被 vm 过，如果有，不能删除的（除非你把该段被保护的代码还原过来），如果是默认情况下，这两个区段可以删除删除区段可以用 winhex ，你还是去玩简单一点的壳吧，vmp 外壳强度不高，但也要你有基础至于还原的问题，比较复杂了 2013-7-3 11:48 0
tiantianai 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 56 粉丝 0 关注私信	tiantianai 5 楼最后一问，内部被VM如何判断。我没有能力还原代码，下一步打算好好学习脱壳教程。这次我主要是想看一下被加壳文件里面里的原来软件的一些算法。 2013-7-3 12:00 0
IamHuskar 雪币： 1372 活跃值： (5797) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1667 粉丝 77 关注私信	IamHuskar 4 6 楼你的意思是VM也是可还原的罗？？ 2013-7-3 12:15 0
Rookietp 雪币： 1042 活跃值： (630) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 798 粉丝 2 关注私信	Rookietp 7 楼你不认识的一大堆指令就是VM 2013-7-3 14:08 0
gzfuqun 雪币： 65 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 117 粉丝 0 关注私信	gzfuqun 8 楼 1.应该没壳了，但还存在VM及资源加密 2.VMP0肯定不能删除，至于VMP1能不能删除，你自己试下。 VMP0不能删除的原因在于以下几点：（1）该插件修复API调用，程序仍然需要调用VMP0区段；（2）资源加密了，插件并没有还原资源，仍然要用壳的资源解密方式加载资源。（3）如果有VM的话，程序也会调用VMP0区段的; 3.ximo这个区段是针对有资源加密，这个区段是来HOOK 4个API用的，用壳的资源解密方式加载资源。 4.要想脱壳后缩小体积，只有自己脱壳（不用这个插件），还原API的调用，还原VM，还原资源. 2013-7-3 15:15 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 9 楼完整还原代码，我做不到，简单的算法被 vm 了，可以还原为意思相同的代码（能力有限） 2013-7-4 10:39 0
IamHuskar 雪币： 1372 活跃值： (5797) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1667 粉丝 77 关注私信	IamHuskar 4 10 楼那当然，我说的就是这个意思，只要弄成没有花指令。当然 MOV EAX,1 和 XOR EAX,EAX INC EAX 这样也是没有区别的。不必一定要完全的相同就是现在最新的VMP也是可以做到”还原“的罗？？ 2013-7-4 10:42 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 11 楼 vmp 1.6 - 2.x vm 是完全相同的（低版本堆栈调用有些不同），只是增加了部分指令，和修正 bug 只要懂得它意思，完全横跨了版本但外壳强度不断增加 2013-7-4 10:52 0
疯子雪币： 2292 活跃值： (538) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 9 关注私信	疯子 4 12 楼 mov指令不影响任何eflag xor直接将of cf清零，inc 也会对应的改变标志位。对于虚拟机来说，这倆能一样吗 2013-7-4 10:56 0
IamHuskar 雪币： 1372 活跃值： (5797) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1667 粉丝 77 关注私信	IamHuskar 4 13 楼 ...... 仅仅是举个例子代表都是把EAX赋1 2013-7-4 11:09 0
疯子雪币： 2292 活跃值： (538) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 9 关注私信	疯子 4 14 楼我也是根据你的例子举个例子呀 2013-7-4 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

tiantianai

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区