关于vmp脱壳后跨平台问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 2 楼你有对程序内部做 vm 保护吗？如果有就还得处理 cpuid 并且你用插件脱壳一点意思都没有，也证明你根本没必要去脱这个壳，vmp 外壳属于中级强度，不是你刚刚接触的人玩的了 2015-1-25 01:03 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 3 楼我没做内部vm一样不能跨平台.. 2015-1-25 01:06 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 4 楼我是用zeus插件脱的,不知道是不是这个插件的关系,反正脱出来的拿其他机器就报内存错误,我重新生成的一个空白程序都是一样 2015-1-25 03:32 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 5 楼这个插件我没用过，但内部有bug很正常，并且出来没更新，估计对现在新版的vmp不兼容，真的这么急就要对这东西动手？ 2015-1-25 11:07 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 6 楼这东西我都了好多天都没看懂、就是不知道怎么回事，换机器就抱错 2015-1-25 12:34 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 7 楼 7c811752 这个地址，是你电脑上某 API 的地址，换了个 PC 那么就对不上号了而这个 7c811752 是 vmp dispatcher_api_fun 中获取并写成了硬编码派发到调用函数中合成的譬如： 7C811752 是 MessageBoxA 的地址， dispatcher_api_fun 中为他们分成了2 个 key push 43a62110 mov eax,38DAF642 add 38DAF642 , 43a62110 sum= 7C811752 push sum retn -> 这样就成功的调用了 MessageBoxA 这个 API 了然而，由于你 “自以为是的脱掉了外壳，而外壳中的 dispatcher_api_fun 在脱壳中缺失了，于是无法在分配出你机器中真实 MessageBoxA 的地址，而那个合成了的 7C811752 还会跟着你到了别的机器，于是，调用了个空的地址，悲剧了。。。。。。。。。。。。。。。。。我没读过书，所以描述很差，你将就的理解吧 2015-1-25 14:19 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 8 楼恩,懂了,就是说IAT没修复好,但是我看了IAT里面都没有加密的地址呢 2015-1-25 14:25 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 9 楼这个插件我真没用过，但如果它没搜集齐全一样，IAT 不能显示出来的，如果 VM 了内部函数，那么你的问题会更多vmp 会内建小型的 IAT 还会对 VM 代码中调用的 API 分别用不同的方式加密，那么就是说你要不还原 VM 了的代码要不，就把各个加密的 API 不同算法抽出来，然后在调用前抢先一步送入正确的数据，让这段 vm 的算法也能正常的调用对应的 API ，那才叫做 vmp 真正脱壳单纯的加壳不对内部的 vm 方式，效果弱爆了（就算最新版本） 2015-1-25 14:34 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 10 楼我用LCF脚本也跑不起来,跑到API的时候就直接退出了,不知道是什么问题? 2015-1-25 15:26 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 11 楼那个脚本我也没正式用过（我用的是自己写的），没法回答你，你可以在退出后，看看脚本窗口，是哪里退出的，分析原因 2015-1-25 15:52 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 12 楼 2015-1-25 15:55 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 13 楼在这里直接退出了上传的附件： QQ图片20150125160447.jpg （94.01kb，2次下载） 2015-1-25 16:05 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 14 楼我的问题应该不是内部API的关系,我是虚拟机里脱的壳,我用补区段的方法都一样报错 2015-1-26 02:41 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 15 楼你根本不懂，补区段对这种方式一点用都没有，你连 VMP 最基本是如何处理一个过程都不了解，很难跟你解释喜欢问没关系，问题是出了问题，还是要自己分析的，我还真没问过别人，当初看了一下vmp的分析，然后自己动手逆向壳加载的全过程，然后总结还原 VM 的方式，中途借鉴了一些别人一些好的想法，自己写完了1500多行的脚本，脚本还反复修改。。。。 2015-1-26 19:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 2 楼你有对程序内部做 vm 保护吗？如果有就还得处理 cpuid 并且你用插件脱壳一点意思都没有，也证明你根本没必要去脱这个壳，vmp 外壳属于中级强度，不是你刚刚接触的人玩的了 2015-1-25 01:03 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 3 楼我没做内部vm一样不能跨平台.. 2015-1-25 01:06 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 4 楼我是用zeus插件脱的,不知道是不是这个插件的关系,反正脱出来的拿其他机器就报内存错误,我重新生成的一个空白程序都是一样 2015-1-25 03:32 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 5 楼这个插件我没用过，但内部有bug很正常，并且出来没更新，估计对现在新版的vmp不兼容，真的这么急就要对这东西动手？ 2015-1-25 11:07 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 6 楼这东西我都了好多天都没看懂、就是不知道怎么回事，换机器就抱错 2015-1-25 12:34 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 7 楼 7c811752 这个地址，是你电脑上某 API 的地址，换了个 PC 那么就对不上号了而这个 7c811752 是 vmp dispatcher_api_fun 中获取并写成了硬编码派发到调用函数中合成的譬如： 7C811752 是 MessageBoxA 的地址， dispatcher_api_fun 中为他们分成了2 个 key push 43a62110 mov eax,38DAF642 add 38DAF642 , 43a62110 sum= 7C811752 push sum retn -> 这样就成功的调用了 MessageBoxA 这个 API 了然而，由于你 “自以为是的脱掉了外壳，而外壳中的 dispatcher_api_fun 在脱壳中缺失了，于是无法在分配出你机器中真实 MessageBoxA 的地址，而那个合成了的 7C811752 还会跟着你到了别的机器，于是，调用了个空的地址，悲剧了。。。。。。。。。。。。。。。。。我没读过书，所以描述很差，你将就的理解吧 2015-1-25 14:19 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 8 楼恩,懂了,就是说IAT没修复好,但是我看了IAT里面都没有加密的地址呢 2015-1-25 14:25 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 9 楼这个插件我真没用过，但如果它没搜集齐全一样，IAT 不能显示出来的，如果 VM 了内部函数，那么你的问题会更多vmp 会内建小型的 IAT 还会对 VM 代码中调用的 API 分别用不同的方式加密，那么就是说你要不还原 VM 了的代码要不，就把各个加密的 API 不同算法抽出来，然后在调用前抢先一步送入正确的数据，让这段 vm 的算法也能正常的调用对应的 API ，那才叫做 vmp 真正脱壳单纯的加壳不对内部的 vm 方式，效果弱爆了（就算最新版本） 2015-1-25 14:34 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 10 楼我用LCF脚本也跑不起来,跑到API的时候就直接退出了,不知道是什么问题? 2015-1-25 15:26 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 11 楼那个脚本我也没正式用过（我用的是自己写的），没法回答你，你可以在退出后，看看脚本窗口，是哪里退出的，分析原因 2015-1-25 15:52 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 12 楼 2015-1-25 15:55 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 13 楼在这里直接退出了上传的附件： QQ图片20150125160447.jpg （94.01kb，2次下载） 2015-1-25 16:05 0
feicun 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 97 粉丝 0 关注私信	feicun 14 楼我的问题应该不是内部API的关系,我是虚拟机里脱的壳,我用补区段的方法都一样报错 2015-1-26 02:41 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 15 楼你根本不懂，补区段对这种方式一点用都没有，你连 VMP 最基本是如何处理一个过程都不了解，很难跟你解释喜欢问没关系，问题是出了问题，还是要自己分析的，我还真没问过别人，当初看了一下vmp的分析，然后自己动手逆向壳加载的全过程，然后总结还原 VM 的方式，中途借鉴了一些别人一些好的想法，自己写完了1500多行的脚本，脚本还反复修改。。。。 2015-1-26 19:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 关于vmp脱壳后跨平台问题 0.00雪花