-
-
[分享]去除VProtect虚拟机检测
-
发表于: 2014-2-26 20:57
-
今天在虚拟机里面打开一个加了vp的程序,提示不能在虚拟机运行
习惯性的调试了一下
最后发现和vmp的类似,就是in eax,dx
下面是检测部分代码:
复制出来
004092D0 /. 55 push ebp
004092D1 |. 8BEC mov ebp,esp
004092D3 |. 51 push ecx
004092D4 |. 53 push ebx
004092D5 |. 68 1D934000 push 0040931D
004092DA |. 64:FF35 00000>push dword ptr fs:[0]
004092E1 |. 64:8925 00000>mov dword ptr fs:[0],esp
004092E8 |. 52 push edx
004092E9 |. 51 push ecx
004092EA |. 53 push ebx
004092EB |. B8 68584D56 mov eax,0x564D5868
004092F0 |. BB 00000000 mov ebx,0x0
004092F5 |. B9 0A000000 mov ecx,0xA
004092FA |. BA 58560000 mov edx,0x5658
004092FF |. ED in eax,dx
00409300 |. 81FB 68584D56 cmp ebx,0x564D5868
00409306 |. 0F9445 FF sete byte ptr ss:[ebp-0x1]
0040930A |. 5B pop ebx
0040930B |. 59 pop ecx
0040930C |. 5A pop edx
0040930D |. 64:8F05 00000>pop dword ptr fs:[0]
00409314 |. 83C4 10 add esp,0x10
00409317 B8 01000000 mov eax,0x1
0040931C \. C3 retn
直接把开头
改成mov eax,0
retn
就过了虚拟机检测了
额。。。没想到这么容易
随手记录贴一下
没技术含量
习惯性的调试了一下
最后发现和vmp的类似,就是in eax,dx
下面是检测部分代码:
复制出来
004092D0 /. 55 push ebp
004092D1 |. 8BEC mov ebp,esp
004092D3 |. 51 push ecx
004092D4 |. 53 push ebx
004092D5 |. 68 1D934000 push 0040931D
004092DA |. 64:FF35 00000>push dword ptr fs:[0]
004092E1 |. 64:8925 00000>mov dword ptr fs:[0],esp
004092E8 |. 52 push edx
004092E9 |. 51 push ecx
004092EA |. 53 push ebx
004092EB |. B8 68584D56 mov eax,0x564D5868
004092F0 |. BB 00000000 mov ebx,0x0
004092F5 |. B9 0A000000 mov ecx,0xA
004092FA |. BA 58560000 mov edx,0x5658
004092FF |. ED in eax,dx
00409300 |. 81FB 68584D56 cmp ebx,0x564D5868
00409306 |. 0F9445 FF sete byte ptr ss:[ebp-0x1]
0040930A |. 5B pop ebx
0040930B |. 59 pop ecx
0040930C |. 5A pop edx
0040930D |. 64:8F05 00000>pop dword ptr fs:[0]
00409314 |. 83C4 10 add esp,0x10
00409317 B8 01000000 mov eax,0x1
0040931C \. C3 retn
直接把开头
改成mov eax,0
retn
就过了虚拟机检测了
额。。。没想到这么容易
随手记录贴一下
没技术含量
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
没懂!
|
|
|
|
|
|
|
|
|
|
|
|
|
