[求助]怎样查找VMP加密后程序调用了那些API？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
CRoot 雪币： 3343 活跃值： (1243) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 2 楼 API Monitor 了解一下 2018-4-14 23:30 0
youxiaxy 雪币： 2056 活跃值： (1471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 224 粉丝 3 关注私信	youxiaxy 3 楼 LS +1 2018-4-15 10:05 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 4 楼楼上的不对吧，静态下还没解码， API Montior 看不到吧楼主应该挂了 vmp_add32, 那里会合成api地址的至于脱壳后，有函数被 vm 了，如是简单的调用,那出了call 后，按 API 的调用和出门后的堆栈数据重写对应的函数如果很复杂那种，建议还是知道 API 大概明白含义就好了，别脱了，累人 2018-4-24 21:51 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 5 楼如果那段代码未被VM，还原IAT。如果代码被VM了，1) VMP2断vRet；2) VMP3断vRet和vCall。最后于 2018-5-9 10:59 被MistHill编辑，原因： 2018-5-9 10:59 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 6 楼 syscall monitor了解一下? 2018-5-9 13:18 0
sungy 雪币： 346 活跃值： (1953) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 7 楼 syscall monitor值得一试 2018-5-9 23:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
CRoot 雪币： 3343 活跃值： (1243) 能力值： ( LV4，RANK：40 ) 在线值：发帖 24 回帖 741 粉丝 6 关注私信	CRoot 2 楼 API Monitor 了解一下 2018-4-14 23:30 0
youxiaxy 雪币： 2056 活跃值： (1471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 224 粉丝 3 关注私信	youxiaxy 3 楼 LS +1 2018-4-15 10:05 0
小剑雪币： 110 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 375 粉丝 1 关注私信	小剑 4 楼楼上的不对吧，静态下还没解码， API Montior 看不到吧楼主应该挂了 vmp_add32, 那里会合成api地址的至于脱壳后，有函数被 vm 了，如是简单的调用,那出了call 后，按 API 的调用和出门后的堆栈数据重写对应的函数如果很复杂那种，建议还是知道 API 大概明白含义就好了，别脱了，累人 2018-4-24 21:51 0
MistHill 雪币： 627 活跃值： (663) 能力值： ( LV9，RANK：270 ) 在线值：发帖 25 回帖 280 粉丝 38 关注私信	MistHill 6 5 楼如果那段代码未被VM，还原IAT。如果代码被VM了，1) VMP2断vRet；2) VMP3断vRet和vCall。最后于 2018-5-9 10:59 被MistHill编辑，原因： 2018-5-9 10:59 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 6 楼 syscall monitor了解一下? 2018-5-9 13:18 0
sungy 雪币： 346 活跃值： (1953) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 7 楼 syscall monitor值得一试 2018-5-9 23:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复