[原创]VMP3.2授权分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]VMP3.2授权分析

2018-10-24 11:27 51421

[原创]VMP3.2授权分析

HighHand

2018-10-24 11:27

51421

查看主题内容

收藏・162

点赞・15

打赏

打赏 + 3.00雪花

orz1ruo

demoscene

打赏次数 2

雪花 + 3.00

orz1ruo	+2.00	2018/10/25
demoscene	+1.00	2018/10/24

最新回复 (107) ◀ 1 2 3 4 5 ▶
Priest Dove 雪币： 1029 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	Priest Dove 2019-1-2 22:07 51 楼 0 那如果是一个DLL加了VMP怎么处理啊？
babalove 雪币： 560 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 344 粉丝 0 关注私信	babalove 2019-1-2 23:46 52 楼 0 学习了
Rookietp 雪币： 1042 活跃值： (455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 803 粉丝 2 关注私信	Rookietp 2019-1-12 18:02 53 楼 0 你好楼主,我试了无数个的堆栈为啥就是找不到KEY.
老道雪币： 1555 活跃值： (562) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	老道 2019-1-14 22:53 54 楼 0 厉害了！
cyclent 雪币： 170 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	cyclent 2019-3-26 09:11 55 楼 0 mark
sinkay 雪币： 6540 活跃值： (3062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 2 关注私信	sinkay 2019-4-14 19:12 57 楼 0 多谢楼主分享
老道雪币： 1555 活跃值： (562) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	老道 2019-4-17 09:02 58 楼 0 NBPlus+兰博基尼版
covccc 雪币： 163 活跃值： (426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	covccc 2019-4-17 20:14 59 楼 0 流弊！！！
王h和雪币： 159 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 60 粉丝 0 关注私信	王h和 2019-4-23 22:04 60 楼 0 好像你加壳的时候虚拟机个数定的不少吧？我手动分析发现很多个出口啊。难道VMP3.2 的都这样么。
小调调雪币： 2932 活跃值： (2577) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 370 粉丝 12 关注私信	小调调 2019-4-24 23:42 61 楼 0 厉害，非常厉害
王h和雪币： 159 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 60 粉丝 0 关注私信	王h和 2019-5-11 21:54 62 楼 0 必须先拥有一份序列号从中获取product code 和usr data 不是必须的。pcode 是可以计算的麻烦点而已。
王h和雪币： 159 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 60 粉丝 0 关注私信	王h和 2019-5-14 21:40 63 楼 0 你好，能否提供你的VMP加壳软件给我研究下？我从网上下载的VMP3.2加壳程序加密后虚拟机与你的不同。我的是 VMProtect_Ultimate_v3.2.0_x32_x64_Build_976_Retail_Licensed。比如: 你里面的虚拟机跳转到 handle 是 jmp R32 或者 push XXX retn，你的虚拟机指令条数非常多。我加密后还是 retn CONST的形式与低版本一样，而且是仅有一个虚拟机。
xieziwang 雪币： 8 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	xieziwang 2019-6-13 18:18 64 楼 0 3000元详细给我讲讲方法可以吗
gueijiao 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	gueijiao 2019-7-26 08:08 66 楼 0 感谢楼主分享！！！楼主威武
成啊水雪币： 13 活跃值： (362) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	成啊水 2019-8-5 02:04 67 楼 0 厉害了最后于 2019-8-7 03:41 被成啊水编辑，原因：
lordrings 雪币： 187 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	lordrings 2019-8-11 04:31 68 楼 0 谢谢楼主分享这么棒的文章! 我在学习过程中碰到一个问题, 希望楼主能够解答. 我在获取RSA-N的数据的过程中, 通过注入 rsa-n.dll 来对内存中加密的N数据进行解密, 这部操作我怎么都不成功, 解密的数据格式都是错误的, 而且每次都不一样. 我的测试环境: [win7 64bit] 我的步骤: 1. launch -n testapp.vmp.exe 2. 在序列号输入框内粘贴正确的license( 来自下载的附件license/serial.txt) 3. 弹出第一个对话框(提示Attach the process, breakpoint at key_ptr.) 4.打开ollyICE, attach 进程, 然后继续运行. 点击关闭对话框. 5.弹出RSA-N at: %08X, key address at: %08X 对话框, 根据key的地址在ollyICE里面找到该内存, 然后修改前两个字节的内容为 0x01 6. 关闭对话框, 程序结束. rsa-n.bn文件已经生成, 但是内容不对, 也不是80 00 开头. 请问中间那个步骤出错了?? 我自己有疑问的地方: 楼主文章中提到: “RSA-N 的获取对 RtlAllocateHeap 下断点将KEY 修改为 0x01，第二次断下后使用固定key 对RSA-N 进行解密” 是不是在第一次进入到RtlAllocateHeap的HOOK函数的时候就要把key修改为0x01, 但是这个时候怎么找到Key的地址呢?
HighHand 雪币： 3053 活跃值： (886) 能力值： ( LV13，RANK：1300 ) 在线值：发帖 33 回帖 113 粉丝 32 关注私信	HighHand 11 2019-8-12 08:46 69 楼 0 lordrings 谢谢楼主分享这么棒的文章! 我在学习过程中碰到一个问题, 希望楼主能够解答. 我在获取RSA-N的数据的过程中, 通过注入 rsa-n.dll 来对内存中加密的N数据进行解密, 这部操作我怎么都不 ... Key大小为20字节, 只修改前两个字节不够吧
lordrings 雪币： 187 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	lordrings 2019-8-12 11:22 70 楼 0 HighHand Key大小为20字节, 只修改前两个字节不够吧方法是对的吗? 我刚刚试了把整个key的内容都修改为0x01也是不行. 得到的rsa-n.bn ------------------------------------------- 7401 02e0 3cfe b06c b315 998d b844 e5cc 0d87 6c5d b11c 26e3 6572 ccaf c2af 6d4a 63da b151 3981 506d 5802 c901 8063 5414 3a04 a305 365e be43 f56e c790 a076 27f9 f7b8 50b5 c280 7a12 123f 381d 98bd e7cb ba92 2b58 593f 332d 1eb8 474d 0f76 bc66 df25 9214 5fdf c440 fed5 f204 5064 2989 b41b 04ea d294 b960 6b61 0ab5 9212 bf00 ae99 aa73 5495 68ed 020c f8e9 40ed 98d7 6cfc 5e53 bdb4 c573 036d 8998 cdab 2c1b 240c 78a6 eceb cc4a f071 ffe8 da2a 8e3e 5b5f 4f9e bd48 cfdc 80a7 b50c 536a 36bf ba2a 5dc4 bec7 61c4 6ac0 293d 7bd5 c69a a977 0804 d78a fde3 af2c df08 5d85 e53b c4bc ffe4 ecc5 349c b779 3b36 b279 3bc2 9bed 63c6 22e3 4934 fe76 6180 92f6 0cb7 f7ad
HighHand 雪币： 3053 活跃值： (886) 能力值： ( LV13，RANK：1300 ) 在线值：发帖 33 回帖 113 粉丝 32 关注私信	HighHand 11 2019-8-12 13:06 71 楼 1 ras-n.bn 生成过程 1. launch -n testapp.vmp.exe 第二个对话框会提示 key 地址，记录下（key address at: 0019F91C） 2. 再次运行，launch -n testapp.vmp.exe 在第一个对话下，使用OD attach 附加进程，并在key地址（0019F91C）+ 0x10 处下硬件写入断点（dword）， 3. 继续运行. 点击关闭对话框. 在硬件断点断下后，修改key （0019F91C）为 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01，大小为 20 字节 4.继续运行，弹出RSA-N at: %08X, key address at: %08X 对话框, 关闭对话框 5. 程序结束. 查看目录下的 ras-n.bn 最后于 2019-8-12 13:11 被HighHand编辑，原因：硬件写入断点（dword），除主线程外其他线程挂起
lordrings 雪币： 187 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	lordrings 2019-8-12 15:11 72 楼 0 感谢楼主, 这个例子已经可以正常运行. 另外, 我尝试去Hook另外一个vmp加壳的Dll的时候 , 在第二次进入Hook的时候find_key失败. 请问: 1. 这个方法支持Dll吗? 支持哪些版本的vmp? 2. 怎么查看Dll使用哪个版本的vmp加壳的? 最后于 2019-8-12 15:13 被lordrings编辑，原因：
wendax 雪币： 19 活跃值： (128) 能力值： ( LV9，RANK：146 ) 在线值：发帖 9 回帖 87 粉丝 3 关注私信	wendax 2019-9-19 21:00 73 楼 0 老哥回来打ctf啊,没有你和风神看雪的ctf一直都是不完整的
0xRT 雪币： 2235 活跃值： (2779) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 265 粉丝 9 关注私信	0xRT 2019-9-25 22:55 74 楼 0 HighHand ras-n.bn 生成过程1. launch -n testapp.vmp.exe         第二个对话 ... 楼主，小菜我也测试了下，在key地址（0019F91C）+ 0x10 处下硬件写入断点（dword）断不下是什么原因呢，另外生产的ras-n.bn一定是8000开头的么？
wx_追忆_390 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	wx_追忆_390 2019-10-13 16:17 75 楼 0 为什么我用gen.exe这个Decrypt error:RSA-N or version incorrect 源码是否要修改哪里？最后于 2019-10-13 18:26 被wx_追忆_390编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

HighHand

发帖

113

回帖

1300

RANK

关注

私信

他的文章

[原创]C++类成员指针调用

[原创]VMP3.2授权分析

[原创]看雪CTF2017 第十二题分析

[原创]看雪CTF2017 第十一题分析

[原创]看雪CTF2017 第十题分析

关于我们

联系我们

企业服务

看雪公众号

最新回复 (107) ◀ 1 2 3 4 5 ▶
Priest Dove 雪币： 1029 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	Priest Dove 2019-1-2 22:07 51 楼 0 那如果是一个DLL加了VMP怎么处理啊？
babalove 雪币： 560 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 344 粉丝 0 关注私信	babalove 2019-1-2 23:46 52 楼 0 学习了
Rookietp 雪币： 1042 活跃值： (455) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 803 粉丝 2 关注私信	Rookietp 2019-1-12 18:02 53 楼 0 你好楼主,我试了无数个的堆栈为啥就是找不到KEY.
老道雪币： 1555 活跃值： (562) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	老道 2019-1-14 22:53 54 楼 0 厉害了！
cyclent 雪币： 170 活跃值： (187) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	cyclent 2019-3-26 09:11 55 楼 0 mark
sinkay 雪币： 6540 活跃值： (3062) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 2 关注私信	sinkay 2019-4-14 19:12 57 楼 0 多谢楼主分享
老道雪币： 1555 活跃值： (562) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 0 关注私信	老道 2019-4-17 09:02 58 楼 0 NBPlus+兰博基尼版
covccc 雪币： 163 活跃值： (426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	covccc 2019-4-17 20:14 59 楼 0 流弊！！！
王h和雪币： 159 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 60 粉丝 0 关注私信	王h和 2019-4-23 22:04 60 楼 0 好像你加壳的时候虚拟机个数定的不少吧？我手动分析发现很多个出口啊。难道VMP3.2 的都这样么。
小调调雪币： 2932 活跃值： (2577) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 370 粉丝 12 关注私信	小调调 2019-4-24 23:42 61 楼 0 厉害，非常厉害
王h和雪币： 159 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 60 粉丝 0 关注私信	王h和 2019-5-11 21:54 62 楼 0 必须先拥有一份序列号从中获取product code 和usr data 不是必须的。pcode 是可以计算的麻烦点而已。
王h和雪币： 159 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 60 粉丝 0 关注私信	王h和 2019-5-14 21:40 63 楼 0 你好，能否提供你的VMP加壳软件给我研究下？我从网上下载的VMP3.2加壳程序加密后虚拟机与你的不同。我的是 VMProtect_Ultimate_v3.2.0_x32_x64_Build_976_Retail_Licensed。比如: 你里面的虚拟机跳转到 handle 是 jmp R32 或者 push XXX retn，你的虚拟机指令条数非常多。我加密后还是 retn CONST的形式与低版本一样，而且是仅有一个虚拟机。
xieziwang 雪币： 8 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	xieziwang 2019-6-13 18:18 64 楼 0 3000元详细给我讲讲方法可以吗
gueijiao 雪币： 277 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	gueijiao 2019-7-26 08:08 66 楼 0 感谢楼主分享！！！楼主威武
成啊水雪币： 13 活跃值： (362) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 88 粉丝 0 关注私信	成啊水 2019-8-5 02:04 67 楼 0 厉害了最后于 2019-8-7 03:41 被成啊水编辑，原因：
lordrings 雪币： 187 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	lordrings 2019-8-11 04:31 68 楼 0 谢谢楼主分享这么棒的文章! 我在学习过程中碰到一个问题, 希望楼主能够解答. 我在获取RSA-N的数据的过程中, 通过注入 rsa-n.dll 来对内存中加密的N数据进行解密, 这部操作我怎么都不成功, 解密的数据格式都是错误的, 而且每次都不一样. 我的测试环境: [win7 64bit] 我的步骤: 1. launch -n testapp.vmp.exe 2. 在序列号输入框内粘贴正确的license( 来自下载的附件license/serial.txt) 3. 弹出第一个对话框(提示Attach the process, breakpoint at key_ptr.) 4.打开ollyICE, attach 进程, 然后继续运行. 点击关闭对话框. 5.弹出RSA-N at: %08X, key address at: %08X 对话框, 根据key的地址在ollyICE里面找到该内存, 然后修改前两个字节的内容为 0x01 6. 关闭对话框, 程序结束. rsa-n.bn文件已经生成, 但是内容不对, 也不是80 00 开头. 请问中间那个步骤出错了?? 我自己有疑问的地方: 楼主文章中提到: “RSA-N 的获取对 RtlAllocateHeap 下断点将KEY 修改为 0x01，第二次断下后使用固定key 对RSA-N 进行解密” 是不是在第一次进入到RtlAllocateHeap的HOOK函数的时候就要把key修改为0x01, 但是这个时候怎么找到Key的地址呢?
HighHand 雪币： 3053 活跃值： (886) 能力值： ( LV13，RANK：1300 ) 在线值：发帖 33 回帖 113 粉丝 32 关注私信	HighHand 11 2019-8-12 08:46 69 楼 0 lordrings 谢谢楼主分享这么棒的文章! 我在学习过程中碰到一个问题, 希望楼主能够解答. 我在获取RSA-N的数据的过程中, 通过注入 rsa-n.dll 来对内存中加密的N数据进行解密, 这部操作我怎么都不 ... Key大小为20字节, 只修改前两个字节不够吧
lordrings 雪币： 187 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	lordrings 2019-8-12 11:22 70 楼 0 HighHand Key大小为20字节, 只修改前两个字节不够吧方法是对的吗? 我刚刚试了把整个key的内容都修改为0x01也是不行. 得到的rsa-n.bn ------------------------------------------- 7401 02e0 3cfe b06c b315 998d b844 e5cc 0d87 6c5d b11c 26e3 6572 ccaf c2af 6d4a 63da b151 3981 506d 5802 c901 8063 5414 3a04 a305 365e be43 f56e c790 a076 27f9 f7b8 50b5 c280 7a12 123f 381d 98bd e7cb ba92 2b58 593f 332d 1eb8 474d 0f76 bc66 df25 9214 5fdf c440 fed5 f204 5064 2989 b41b 04ea d294 b960 6b61 0ab5 9212 bf00 ae99 aa73 5495 68ed 020c f8e9 40ed 98d7 6cfc 5e53 bdb4 c573 036d 8998 cdab 2c1b 240c 78a6 eceb cc4a f071 ffe8 da2a 8e3e 5b5f 4f9e bd48 cfdc 80a7 b50c 536a 36bf ba2a 5dc4 bec7 61c4 6ac0 293d 7bd5 c69a a977 0804 d78a fde3 af2c df08 5d85 e53b c4bc ffe4 ecc5 349c b779 3b36 b279 3bc2 9bed 63c6 22e3 4934 fe76 6180 92f6 0cb7 f7ad
HighHand 雪币： 3053 活跃值： (886) 能力值： ( LV13，RANK：1300 ) 在线值：发帖 33 回帖 113 粉丝 32 关注私信	HighHand 11 2019-8-12 13:06 71 楼 1 ras-n.bn 生成过程 1. launch -n testapp.vmp.exe 第二个对话框会提示 key 地址，记录下（key address at: 0019F91C） 2. 再次运行，launch -n testapp.vmp.exe 在第一个对话下，使用OD attach 附加进程，并在key地址（0019F91C）+ 0x10 处下硬件写入断点（dword）， 3. 继续运行. 点击关闭对话框. 在硬件断点断下后，修改key （0019F91C）为 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01，大小为 20 字节 4.继续运行，弹出RSA-N at: %08X, key address at: %08X 对话框, 关闭对话框 5. 程序结束. 查看目录下的 ras-n.bn 最后于 2019-8-12 13:11 被HighHand编辑，原因：硬件写入断点（dword），除主线程外其他线程挂起
lordrings 雪币： 187 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 1 关注私信	lordrings 2019-8-12 15:11 72 楼 0 感谢楼主, 这个例子已经可以正常运行. 另外, 我尝试去Hook另外一个vmp加壳的Dll的时候 , 在第二次进入Hook的时候find_key失败. 请问: 1. 这个方法支持Dll吗? 支持哪些版本的vmp? 2. 怎么查看Dll使用哪个版本的vmp加壳的? 最后于 2019-8-12 15:13 被lordrings编辑，原因：
wendax 雪币： 19 活跃值： (128) 能力值： ( LV9，RANK：146 ) 在线值：发帖 9 回帖 87 粉丝 3 关注私信	wendax 2019-9-19 21:00 73 楼 0 老哥回来打ctf啊,没有你和风神看雪的ctf一直都是不完整的
0xRT 雪币： 2235 活跃值： (2779) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 265 粉丝 9 关注私信	0xRT 2019-9-25 22:55 74 楼 0 HighHand ras-n.bn 生成过程1. launch -n testapp.vmp.exe         第二个对话 ... 楼主，小菜我也测试了下，在key地址（0019F91C）+ 0x10 处下硬件写入断点（dword）断不下是什么原因呢，另外生产的ras-n.bn一定是8000开头的么？
wx_追忆_390 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	wx_追忆_390 2019-10-13 16:17 75 楼 0 为什么我用gen.exe这个Decrypt error:RSA-N or version incorrect 源码是否要修改哪里？最后于 2019-10-13 18:26 被wx_追忆_390编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复