[原创] 人肉跟踪VMProtect入口至出口运行全过程(2)迷你代码还原

2018-10-9 18:01 20752

[原创] 人肉跟踪VMProtect入口至出口运行全过程(2)迷你代码还原

爱吃菠菜

2018-10-9 18:01

20752

最近好多分析vmp的贴，跟风把以前的分析心得发出来(内容在excel附件中)，

难度承接上一篇：人肉跟踪VMProtect入口至出口运行全过程(1)

这一篇将整个完整的VmCode过程,通过表格显现出来，

先占个坑，详细内容稍后编辑。

1 源代码：

void test()
{
	int sum=0;
	for(int i=0;i<100;i++)
	{
		sum=sum+i;
	}
	printf("%d",sum);
}


int main(int argc, char *argv[])
{
	test();
	return 0;
}

2 汇编码&&基本块：

3 VMCODE <————> X86ASM对照表格

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2018-10-9 22:28 被爱吃菠菜编辑，原因：

上传的附件：

3464564567.xlsx （144.19kb，230次下载）

收藏・45

点赞・2

打赏

最新回复 (18)
kanxue 雪币： 29414 活跃值： (18685) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15214 粉丝 487 关注私信	kanxue 8 2018-10-9 18:30 2 楼 0 ……全过程(1) 这篇文章在哪？之前你没在看雪论坛发过
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-9 21:08 3 楼 0 kanxue ……全过程(1) 这篇文章在哪？之前你没在看雪论坛发过好像是在另一个板块中发的。。
Cr2zy 雪币： 4363 活跃值： (2304) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 23 粉丝 1 关注私信	Cr2zy 2018-10-9 22:37 4 楼 0 mark
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 134 粉丝 1 关注私信	陈林00007 2018-10-10 10:37 5 楼 0 我去，牛啊，这得用多长时间全部还原
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-10 10:52 6 楼 0 davidangle 我去，牛啊，这得用多长时间全部还原有没有小姑娘被扒光了一丝不挂，尽收眼底的感觉？
xiaohang 雪币： 2002 活跃值： (2760) 能力值： (RANK：260 ) 在线值：发帖 11 回帖 203 粉丝 69 关注私信	xiaohang 3 2018-10-10 11:48 7 楼 0 还是看雪老大快了一步，没办法，昨天加班到12点，你这个是自动化生成的excel吗？
xiaohang 雪币： 2002 活跃值： (2760) 能力值： (RANK：260 ) 在线值：发帖 11 回帖 203 粉丝 69 关注私信	xiaohang 3 2018-10-10 11:51 8 楼 0 如果真的是人肉还原的，恭喜你，人家1分钟保护的代码你得还原1年说明vmp的保护是有效的最后于 2018-10-10 11:51 被xiaohang编辑，原因：
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-10 12:12 9 楼 1 xiaohang 如果真的是人肉还原的，恭喜你，人家1分钟保护的代码你得还原1年说明vmp的保护是有效的是人肉的，当初跟完这个玩意是因为想山寨一套vm。最后于 2019-1-21 11:27 被爱吃菠菜编辑，原因：
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-10 21:10 10 楼 1 xiaohang 还是看雪老大快了一步，没办法，昨天加班到12点[em_9]，你这个是自动化生成的excel吗？才注意加班到12点半，这么辛苦太拼了最后于 2018-10-10 21:26 被爱吃菠菜编辑，原因：
天水姜伯约雪币： 1402 活跃值： (4135) 能力值： ( LV9，RANK：195 ) 在线值：发帖 15 回帖 109 粉丝 114 关注私信	天水姜伯约 4 2018-10-11 17:22 11 楼 0 好厉害。
不同意雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	不同意 2018-10-14 20:13 12 楼 0 慢慢学习，消化，感谢！
cjkillyes 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	cjkillyes 2018-10-15 19:59 13 楼 0 请问楼主的vmcode与X86ASM对照表格是从拿找到的？？？
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-16 11:48 14 楼 0 cjkillyes 请问楼主的vmcode与X86ASM对照表格是从拿找到的？？？最开始看堆栈，看输入输出，人肉推的。后面见的多了，应该可以归纳一下，做模式匹配特征匹配之类的。学习的话，可以参考那些牛X的分析插件。
khaless 雪币： 10 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	khaless 2018-10-19 07:31 15 楼 0 感谢。不错学习了
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2018-12-4 11:00 16 楼 1 这个是有DispatchTable的吧，如果是没DispatchTable的，不知道楼主试过没有
coolsnake 雪币： 2359 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 222 粉丝 2 关注私信	coolsnake 2018-12-30 20:48 17 楼 0 不错学习了
tianwenle 雪币： 78 活跃值： (1278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 80 粉丝 0 关注私信	tianwenle 2023-1-20 08:59 18 楼 0 一二三六这个是有DispatchTable的吧，如果是没DispatchTable的，不知道楼主试过没有道理大同小异，VMP3x是把这个东西展开而已，不过可以看看研究下
tianwenle 雪币： 78 活跃值： (1278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 80 粉丝 0 关注私信	tianwenle 2023-1-20 09:01 19 楼 0 爱吃菠菜 xiaohang 还是看雪老大快了一步，没办法，昨天加班到12点[em_9]，你这个是自动化生成的excel吗？才注意 加班到12点 ... 好东西，写的非常好，非常直观，以前是图文教程，现在弄了套视频教程，结合你这个看基本理解这个玩意，发现也不难，难者不会，挥着不难，不过弄这玩意挺浪费时间的，看你目的是啥，后期如果求破解，完全不需要这样麻烦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

爱吃菠菜

发帖

169

回帖

180

RANK

关注

私信

他的文章

[原创] 60秒学会用eBPF-BCC hook系统调用 ( 2 ) hook安卓所有syscall

[原创] 60秒学会用eBPF-BCC hook系统调用

[原创] 某DEX_VMP安全分析与还原

[原创]JEB脚本(二)(交叉引用调用图)

[原创]JEB脚本(一)(指令解析反编译抽象语法树)

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
kanxue 雪币： 29414 活跃值： (18685) 能力值： (RANK：350 ) 在线值：发帖 1827 回帖 15214 粉丝 487 关注私信	kanxue 8 2018-10-9 18:30 2 楼 0 ……全过程(1) 这篇文章在哪？之前你没在看雪论坛发过
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-9 21:08 3 楼 0 kanxue ……全过程(1) 这篇文章在哪？之前你没在看雪论坛发过好像是在另一个板块中发的。。
Cr2zy 雪币： 4363 活跃值： (2304) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 23 粉丝 1 关注私信	Cr2zy 2018-10-9 22:37 4 楼 0 mark
陈林00007 雪币： 2063 活跃值： (1752) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 134 粉丝 1 关注私信	陈林00007 2018-10-10 10:37 5 楼 0 我去，牛啊，这得用多长时间全部还原
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-10 10:52 6 楼 0 davidangle 我去，牛啊，这得用多长时间全部还原有没有小姑娘被扒光了一丝不挂，尽收眼底的感觉？
xiaohang 雪币： 2002 活跃值： (2760) 能力值： (RANK：260 ) 在线值：发帖 11 回帖 203 粉丝 69 关注私信	xiaohang 3 2018-10-10 11:48 7 楼 0 还是看雪老大快了一步，没办法，昨天加班到12点，你这个是自动化生成的excel吗？
xiaohang 雪币： 2002 活跃值： (2760) 能力值： (RANK：260 ) 在线值：发帖 11 回帖 203 粉丝 69 关注私信	xiaohang 3 2018-10-10 11:51 8 楼 0 如果真的是人肉还原的，恭喜你，人家1分钟保护的代码你得还原1年说明vmp的保护是有效的最后于 2018-10-10 11:51 被xiaohang编辑，原因：
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-10 12:12 9 楼 1 xiaohang 如果真的是人肉还原的，恭喜你，人家1分钟保护的代码你得还原1年说明vmp的保护是有效的是人肉的，当初跟完这个玩意是因为想山寨一套vm。最后于 2019-1-21 11:27 被爱吃菠菜编辑，原因：
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-10 21:10 10 楼 1 xiaohang 还是看雪老大快了一步，没办法，昨天加班到12点[em_9]，你这个是自动化生成的excel吗？才注意加班到12点半，这么辛苦太拼了最后于 2018-10-10 21:26 被爱吃菠菜编辑，原因：
天水姜伯约雪币： 1402 活跃值： (4135) 能力值： ( LV9，RANK：195 ) 在线值：发帖 15 回帖 109 粉丝 114 关注私信	天水姜伯约 4 2018-10-11 17:22 11 楼 0 好厉害。
不同意雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	不同意 2018-10-14 20:13 12 楼 0 慢慢学习，消化，感谢！
cjkillyes 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 39 粉丝 0 关注私信	cjkillyes 2018-10-15 19:59 13 楼 0 请问楼主的vmcode与X86ASM对照表格是从拿找到的？？？
爱吃菠菜雪币： 2128 活跃值： (6676) 能力值： ( LV11，RANK：180 ) 在线值：发帖 19 回帖 169 粉丝 327 关注私信	爱吃菠菜 2 2018-10-16 11:48 14 楼 0 cjkillyes 请问楼主的vmcode与X86ASM对照表格是从拿找到的？？？最开始看堆栈，看输入输出，人肉推的。后面见的多了，应该可以归纳一下，做模式匹配特征匹配之类的。学习的话，可以参考那些牛X的分析插件。
khaless 雪币： 10 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	khaless 2018-10-19 07:31 15 楼 0 感谢。不错学习了
一二三六雪币： 302 活跃值： (246) 能力值： ( LV4，RANK：45 ) 在线值：发帖 28 回帖 156 粉丝 1 关注私信	一二三六 2018-12-4 11:00 16 楼 1 这个是有DispatchTable的吧，如果是没DispatchTable的，不知道楼主试过没有
coolsnake 雪币： 2359 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 222 粉丝 2 关注私信	coolsnake 2018-12-30 20:48 17 楼 0 不错学习了
tianwenle 雪币： 78 活跃值： (1278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 80 粉丝 0 关注私信	tianwenle 2023-1-20 08:59 18 楼 0 一二三六这个是有DispatchTable的吧，如果是没DispatchTable的，不知道楼主试过没有道理大同小异，VMP3x是把这个东西展开而已，不过可以看看研究下
tianwenle 雪币： 78 活跃值： (1278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 80 粉丝 0 关注私信	tianwenle 2023-1-20 09:01 19 楼 0 爱吃菠菜 xiaohang 还是看雪老大快了一步，没办法，昨天加班到12点[em_9]，你这个是自动化生成的excel吗？才注意 加班到12点 ... 好东西，写的非常好，非常直观，以前是图文教程，现在弄了套视频教程，结合你这个看基本理解这个玩意，发现也不难，难者不会，挥着不难，不过弄这玩意挺浪费时间的，看你目的是啥，后期如果求破解，完全不需要这样麻烦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复