[讨论]碰到被VMP过的汇编，有啥好办法吗？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
zhatian 雪币： 6588 活跃值： (4032) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 2 楼厉害啊！一看就知道是大神，想到的思路就是叼。你可以试试看。 2021-1-20 01:12 1
klxmy 雪币： 34 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	klxmy 3 楼你这样就是搞笑了。。。。首先 VMP把真实指令虚拟化，一变万，然后用隐蔽方式设置计算或者变异源代码， -1 变成 + -1 这样的模式 VM_ADD 指令是里面很关键也是常用的的一个的变异你可以尝试 HOOk 了它，还有几个如 vm_set , 它通常在第二次读入时候才会真实处理数据运行跟踪估计很多人都有过这个想法，你绝对是10000+后了，我早年就接触过VMP，解密过一些，你的想法是行不通的。。。。。。。。。。。。。。。最后于 2021-1-20 03:05 被klxmy编辑，原因： 2021-1-20 02:44 0
zbzb 雪币： 59 活跃值： (1511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 4 楼楼主可以参考这篇帖子 https://www.52pojie.cn/thread-1304279-1-1.html 2021-1-20 04:05 0
木志本柯雪币： 4749 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 5 楼它调用api还好分析，它不调用api，完全是自写算法逻辑的话基本很难有解。。。 2021-1-20 09:15 0
木志本柯雪币： 4749 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 6 楼或许可以尝试用沙箱把所有执行的指令都过滤出来，然后dump出整个内存配合ida分析。 2021-1-20 09:22 0
mb_xerhroko 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	mb_xerhroko 7 楼木志本柯或许可以尝试用沙箱把所有执行的指令都过滤出来，然后dump出整个内存配合ida分析。假如我知道vm调用了某个系统api，有办法下断点吗？ 2021-1-24 00:55 0
romobin 雪币： 7970 活跃值： (4729) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 45 关注私信	romobin 8 楼断点都可以下啊，不过vmp你检测int3跟硬件断点，你可以用地址加+5之类的方式下断，基本都可以逃避检测 2021-1-24 02:53 0
mb_xerhroko 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	mb_xerhroko 9 楼 romobin 断点都可以下啊，不过vmp你检测int3跟硬件断点，你可以用地址加+5之类的方式下断，基本都可以逃避检测我现在基本已经知道了程序是把机器特征收集起来存储到内存（这部分代码被vmp了），之后验证的时候会回来读取，只要我能找到这块内存的位置，改写成自己机器的特征码就能破解掉。。。现在不知道怎么找这块内存地址……大神们有啥好办法嘛 2021-1-24 16:27 0
redalarmaa 雪币： 200 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 40 粉丝 1 关注私信	redalarmaa 10 楼要看你的目的，目的明确，不管什么哈P都能搞定。 2021-1-24 16:53 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 11 楼早试过了，一条if else语句 vmp::虚拟模式能整30多个跳转..... 2021-2-1 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
zhatian 雪币： 6588 活跃值： (4032) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 2 楼厉害啊！一看就知道是大神，想到的思路就是叼。你可以试试看。 2021-1-20 01:12 1
klxmy 雪币： 34 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	klxmy 3 楼你这样就是搞笑了。。。。首先 VMP把真实指令虚拟化，一变万，然后用隐蔽方式设置计算或者变异源代码， -1 变成 + -1 这样的模式 VM_ADD 指令是里面很关键也是常用的的一个的变异你可以尝试 HOOk 了它，还有几个如 vm_set , 它通常在第二次读入时候才会真实处理数据运行跟踪估计很多人都有过这个想法，你绝对是10000+后了，我早年就接触过VMP，解密过一些，你的想法是行不通的。。。。。。。。。。。。。。。最后于 2021-1-20 03:05 被klxmy编辑，原因： 2021-1-20 02:44 0
zbzb 雪币： 59 活跃值： (1511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 377 粉丝 0 关注私信	zbzb 4 楼楼主可以参考这篇帖子 https://www.52pojie.cn/thread-1304279-1-1.html 2021-1-20 04:05 0
木志本柯雪币： 4749 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 5 楼它调用api还好分析，它不调用api，完全是自写算法逻辑的话基本很难有解。。。 2021-1-20 09:15 0
木志本柯雪币： 4749 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 6 楼或许可以尝试用沙箱把所有执行的指令都过滤出来，然后dump出整个内存配合ida分析。 2021-1-20 09:22 0
mb_xerhroko 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	mb_xerhroko 7 楼木志本柯或许可以尝试用沙箱把所有执行的指令都过滤出来，然后dump出整个内存配合ida分析。假如我知道vm调用了某个系统api，有办法下断点吗？ 2021-1-24 00:55 0
romobin 雪币： 7970 活跃值： (4729) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 45 关注私信	romobin 8 楼断点都可以下啊，不过vmp你检测int3跟硬件断点，你可以用地址加+5之类的方式下断，基本都可以逃避检测 2021-1-24 02:53 0
mb_xerhroko 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	mb_xerhroko 9 楼 romobin 断点都可以下啊，不过vmp你检测int3跟硬件断点，你可以用地址加+5之类的方式下断，基本都可以逃避检测我现在基本已经知道了程序是把机器特征收集起来存储到内存（这部分代码被vmp了），之后验证的时候会回来读取，只要我能找到这块内存的位置，改写成自己机器的特征码就能破解掉。。。现在不知道怎么找这块内存地址……大神们有啥好办法嘛 2021-1-24 16:27 0
redalarmaa 雪币： 200 活跃值： (245) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 40 粉丝 1 关注私信	redalarmaa 10 楼要看你的目的，目的明确，不管什么哈P都能搞定。 2021-1-24 16:53 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 11 楼早试过了，一条if else语句 vmp::虚拟模式能整30多个跳转..... 2021-2-1 22:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复