首页
社区
课程
招聘
VProtect 1.3 Compile测试
发表于: 2006-5-19 01:54 19011

VProtect 1.3 Compile测试

2006-5-19 01:54
19011

下载: ftp://vcasm.net/VProtectCompile.rar

严格说这不是一个直接用于加壳的工具,而是辅助大家定制自己的加密壳的一个编译器,没有太多的精力投入编写这个编译器,目前的版本紧紧加入了堆栈运行指令的编译,没有加入乱序和CC干扰,还是准备好完整的代码虚拟机才更新这个版本。

压缩文件中含有简单的源码:vp.c  大家可以参考这个样式加入自己的asm文件编译自己的壳


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (54)
雪    币: 260
活跃值: (162)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
这个工具默认产生的壳没有什么强度,大伙充分发挥自己的能动性吧:)
大家如果想调试,请将源文件中的SetProcessCheck()和void Anti()去除方便调试
2006-5-19 01:55
0
雪    币: 47147
活跃值: (20450)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
3
支持vcasm更新VProtect,转份分本地收藏。
VProtect 1.3 这种可以让用户自定义外壳的方式有新意。

上传的附件:
2006-5-19 06:24
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
顶!也许用不了多久就要续写神话了.
2006-5-19 07:26
0
雪    币: 279
活跃值: (145)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
5
支持
VM始终就是神话
2006-5-19 07:50
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
不能直接加壳的SDK壳。
2006-5-19 08:12
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
7
支持先~
2006-5-19 09:02
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
8
完全不懂,只能说学习
2006-5-19 09:04
0
雪    币: 207
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
最初由 shoooo 发布
完全不懂,只能说学习


一起学习
2006-5-19 10:51
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
顶,顶,顶
强烈支持
2006-5-19 10:57
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
学习学习!
2006-5-19 11:27
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
12
简单分析VProtect V1.3的单进程转换和反调试

VProtect V1.3的特色是代码混淆和堆栈执行,不容易恢复
简单分析一下双进程变单进程和Anti
―――――――――――――――――――――――――――――――――
一、双进程变单进程

BP CreateProcessA

0012FB18    00410D0C  /CALL 到 CreateProcessA 来自 vpx_1.00410D08
0012FB1C    00000000  |ModuleFileName = NULL
0012FB20    0012FB48  |CommandLine = """D:\UnPacK\VCAsm\VProtect V1.3 Compile\vpx_1.exe"""
0012FB24    00000000  |pProcessSecurity = NULL
0012FB28    00000000  |pThreadSecurity = NULL
0012FB2C    00000000  |InheritHandles = FALSE
0012FB30    00000000  |CreationFlags = 0
0012FB34    00000000  |pEnvironment = NULL
0012FB38    00000000  |CurrentDir = NULL
0012FB3C    0012FD58  |pStartupInfo = 0012FD58
0012FB40    0012FD9C  \pProcessInfo = 0012FD9C

Ctrl+G:00410D08看看
上面跳开就是单进程了

00410B14     FF5424 FC          call dword ptr ss:[esp-4]
00410B18     68 00000000        push 0
00410B1D     68 0000C214        push 14C20000
00410B22     68 FFFF0000        push 0FFFF
00410B27     68 C94CA5FD        push FDA54CC9
00410B2C     9C                 pushfd
00410B2D     81B424 04000000 48>xor dword ptr ss:[esp+4],3DF148
00410B38     9D                 popfd
00410B39     54                 push esp
00410B3A     FF1424             call dword ptr ss:[esp]
00410B3D     0F85 AE060000      jnz 004111F1
//下硬件断点,重新运行后修改标志位使其跳转

―――――――――――――――――――――――――――――――――
二、Anti

利用线程来检测
BP CreateThread

0012FB28    00411338  /CALL 到 CreateThread 来自 vpx_1.00411334
0012FB2C    00000000  |pSecurity = NULL
0012FB30    00000000  |StackSize = 0
0012FB34    0041135D  |ThreadFunction = vpx_1.0041135D
0012FB38    003D0000  |pThreadParm = 003D0000
0012FB3C    00000000  |CreationFlags = 0
0012FB40    0012FD4C  \pThreadId = 0012FD4C

可以这样修改ThreadFunction入口:
0041135D     33C0               xor eax,eax
0041135F     C3                 retn

也可以修改CreationFlags为4  = CREATE_SUSPENDED

还有一次CreateThread
0012FFA8    00435657  /CALL 到 CreateThread 来自 vpx_1.00435653
0012FFAC    00000000  |pSecurity = NULL
0012FFB0    00000000  |StackSize = 0
0012FFB4    0043565C  |ThreadFunction = vpx_1.0043565C
0012FFB8    00000000  |pThreadParm = NULL
0012FFBC    00000000  |CreationFlags = 0
0012FFC0    00435BBD  \pThreadId = vpx_1.00435BBD

―――――――――――――――――――――――――――――――――

Game
2006-5-19 11:31
0
雪    币: 223
活跃值: (101)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
这东西怎么加呢。。。。
2006-5-19 11:33
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
14
最初由 systembug 发布
这东西怎么加呢。。。。

命令行
如upx
2006-5-19 11:38
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
15
支持!
2006-5-19 11:41
0
雪    币: 217
活跃值: (15)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
,虽然大多数exe都出错,不过还是很佩服
2006-5-19 12:13
0
雪    币: 690
活跃值: (1826)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
17
支持
2006-5-19 13:01
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
18
里面的notepad unpacked

输入表的调用修复了
oep没修
上传的附件:
  • 5.rar (64.26kb,14次下载)
2006-5-19 13:45
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
19
最初由 shoooo 发布
里面的notepad unpacked

输入表的调用修复了
oep没修


野猪的力量
2006-5-19 13:56
0
雪    币: 97697
活跃值: (200824)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
20
2006-5-19 14:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
支持
2006-5-19 14:09
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
22
修复oep+优化后
上传的附件:
  • 7.rar (15.90kb,11次下载)
2006-5-19 14:30
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
盼望此壳,VCasm
2006-5-19 14:50
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
等待 哪位大牛  弄个 图形界面的出来
2006-5-19 20:54
0
雪    币: 215
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
2006-5-19 22:28
0
游客
登录 | 注册 方可回帖
返回
//