首页
社区
课程
招聘
[求助]怎样查找VMP加密后程序调用了那些API?
发表于: 2018-4-14 20:14 4874

[求助]怎样查找VMP加密后程序调用了那些API?

2018-4-14 20:14
4874
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 3366
活跃值: (1353)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
2
API  Monitor  了解一下
2018-4-14 23:30
0
雪    币: 2058
活跃值: (1651)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
LS          +1
2018-4-15 10:05
0
雪    币: 110
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
楼上的不对吧,静态下还没解码,  API  Montior  看不到吧

楼主应该挂了  vmp_add32,  那里会合成api地址的
至于脱壳后,有函数被  vm  了,如是简单的调用,那出了call  后,  按  API  的调用
和出门后的堆栈数据重写对应的函数 

如果很复杂那种,建议还是知道  API  大概明白含义就好了,别脱了,累人
2018-4-24 21:51
0
雪    币: 627
活跃值: (663)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
5
如果那段代码未被VM,还原IAT。
如果代码被VM了,1)  VMP2断vRet;2) VMP3断vRet和vCall。
最后于 2018-5-9 10:59 被MistHill编辑 ,原因:
2018-5-9 10:59
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
6
syscall  monitor了解一下?
2018-5-9 13:18
0
雪    币: 547
活跃值: (2195)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
7
syscall    monitor值得一试
2018-5-9 23:31
0
游客
登录 | 注册 方可回帖
返回
//