-
-
[讨论]vm2.06
-
2015-9-24 18:02
4756
-
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////
我在看 这个人的文章
标 题: 【原创】VMProtect 2.06全过程分析
作 者: hkfans
时 间: 2012-02-29,14:00:23
链 接: http://bbs.pediy.com/showthread.php?t=147164
////////////////////////////////////////////////////////////////////////////////////////////////////////////////
01039F04 07 push esp ; 下面写入返回地址, 这里返回到系统模块 TLS返回
01039F03 71 read dword mem dword
01039F02 50 14 push dword 14
01039F00 07 push esp
01039EFF 51 add dword
01039EFE F9 pop r2
01039EFD 8E write dword mem
01039EFC D1 pop r12
01039EFB D1 pop r12
01039EFA 01 pop r0
01039EF9 E4 push r7
01039EF8 D4 push r11
01039EF7 E0 push r8
01039EF6 DC push r9
01039EF5 F0 push r4
01039EF4 C4 push r15
01039EF3 FC push r1
01039EF2 EC push r5
01039EF1 F4 push r3
01039EF0 C4 push r15
01039EEF E8 push r6
01039EEE 12 exitVM 到这里就停在那里了
我调试到这里怎么办,怎么才能接下去到下面
1. 外壳由EP处继续执行,在OEP处下段点..
01039800 E5 pop r7
010397FF 94 C0C49CBB push BB9CC4C0
010397FA 51 add dword
010397F9 D9 pop r10
010397F8 ED pop r5
010397F7 D9 pop r10
010397F6 F9 pop r2
010397F5 01 pop r0
010397F4 F1 pop r4
010397F3 DD pop r9
010397F2 FD pop r1
010397F1 D5 pop r11
010397F0 D1 pop r12
010397EF E9 pop r6
010397EE CD pop r13
010397ED CD pop r13
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法