最多看过226,还忘了

膜拜一下大牛，有没有输入stolen地址和pe文件能追出代码的工具

这个半截子程序以前贴过,至于怎么用等等一切细节都不记得了,另外不要拿我开心

上传的附件：

• execryptor_vm.rar （10.94kb，14次下载）

226的stolen codes和vm没关系,vm只是用来干扰调试的

我搞得不是主程序，也不知道什么版本。

好像一句明文一句pcode，真是见鬼了。

softworm的意思是stolen会明文出现吗

没有cl，写了个脚本模拟，我怀疑c0是条件判断吧

000F9C54C :: pcode 0xC0 -> jmp 000FC2A35 !!!maybe smc included
00FC2A35    3C 02           CMP     AL, 2

000FC2A37 :: pcode 0x3F -> nop

000FC2A44 :: pcode 0xC0 -> jmp 000FD771C !!!maybe smc included

00FD771C    3C 03           CMP     AL, 3

000FD771E :: pcode 0xC0 -> jmp 000F8171F !!!maybe smc included
00F8171F    3C 05           CMP     AL, 5

不知道怎么识别call vm 后面的dd个数？

Log data
Address    Message

           $RESULT = 000F9C54C :: pcode 0xC0 -> jmp/jxx 000FC2A35
           $RESULT = 000FBF6BD :: pcode 0x3F -> nop
           $RESULT = 000FBF6BD :: pcode 0x3F -> nop
           $RESULT = 000FBF6BD :: pcode 0x3F -> nop
           $RESULT = 000FBF6BD :: pcode 0xC0 -> jmp/jxx 000F76AB0
           $RESULT = 000FBF6BD :: pcode 0x00 -> push r000000001

最初由 forgot 发布
我搞得不是主程序，也不知道什么版本。

好像一句明文一句pcode，真是见鬼了。

softworm的意思是stolen会明文出现吗

忘记了 。

可能是变形过的。跟的时候一般能看出来。不过我记得ExeCryptor有一点很讨厌，原代码被抽的位置，塞了些过路的代码。壳代码会从那走一下，所以是修复
部分代码，但不方便贴回去试。我当时搞了5,6段就放弃了。

call后面的dword,最多2个。用程序解码的时候可以明确识别出来。要偷懒，在IDA里转换为code试试。一般vm数据后面是正确的代码。

我这个victim是crypt_start/end，有几百行。。。
还是考虑以壳解壳吧。

还是以壳解壳吧

好像有好多初始化过的东西，真烦人阿。

寻觅一个简单的方案

一切尽在你掌握
找到那个恰当的点dump就行了

看了一下，好像只是oep的代码被初始化了。

我模拟出来OEP代码，把dump出来的3个段贴上，居然ok了。

抓狂中。

恭喜OK

最初由 forgot 发布
好像有好多初始化过的东西，真烦人阿。

寻觅一个简单的方案

如果有简单的方案，那其VM岂不形同虚设？

最初由 gkend 发布
如果有简单的方案，那其VM岂不形同虚设？

vm保护注册验证代码还是有点用，不过如果保护功能。crack掉就没什么了

最初由 forgot 发布
vm保护注册验证代码还是有点用，不过如果保护功能。crack掉就没什么了

VM除了保护代码不让你分析和修改外，其他就没什么作用了。
如果用VM来保护注册验证反而不太好，因为它无法控制硬件ID和时间限制。最多只能防止别人知道注册算法。