首页
社区
课程
招聘
[求助] VMProtect V1.70添加检测后如何分析?
发表于: 2019-7-1 03:49 6679

[求助] VMProtect V1.70添加检测后如何分析?

2019-7-1 03:49
6679
如图VMProtect去掉所有保护和检测后,只加密其中的一个很简单的函数是没有问题的:



像这样程序入口点非常正常,可以跟踪到main然后进入401000这个函数看到虚拟机入口:



但是如果在选项上加上检测调试器或者虚拟环境的话马上就不对了,不是401000,而是整个程序从EntryPoint开始都被加密了:



如果直接执行然后根据检测弹窗的调用堆栈是这样子的:



整个EntryPoint都被加密了手动跟踪工作量实在是无法想象,而且分析不出来调用堆栈。请问一下各位大佬们有什么办法分析VMP检测调试器(或者说虚拟机)的流程吗?谢谢大家了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2019-7-1 18:06 被wx_大方编辑 ,原因:
上传的附件:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 9934
活跃值: (2554)
能力值: ( LV6,RANK:87 )
在线值:
发帖
回帖
粉丝
2
想知道检测,可以看文章。想过检测,可以用插件
2019-7-1 07:20
0
雪    币: 969
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
Lixinist 想知道检测,可以看文章。想过检测,可以用插件
我找了一天了,看到VMP的文章大多是讲解虚拟机的,我也都看懂了,但是检测的文章只看到过一篇VMCALL的,但是像上述那样从 EntryPoint开始加密的还无法栈回溯的还是毫无办法,实在是不知道怎么办了才来发帖子求助,谢谢大家了
2019-7-1 18:10
0
雪    币: 59
活跃值: (1501)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4

https://www.chinapyg.com/thread-119711-1-1.html

四、 VM专题(讲师:wai1216)1. VM架构简介2. VM爆破及可选爆破点3. 利用VM的缺陷巧妙爆破 

PYG去年的54教学有一个vm专题,很适合楼主入门。

2019-7-6 23:56
0
雪    币: 969
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
zbzb https://www.chinapyg.com/thread-119711-1-1.html四、 VM专题(讲师:wai1216)1. VM架构简介2. VM爆破及可选爆破点3. 利用VM的 ...
嗯嗯谢了先收藏了。其实后来我找到了vmretn,把保护都过了。帖子不知道怎么删就留在这了。
2019-7-8 02:49
0
游客
登录 | 注册 方可回帖
返回
//