[求助]对vmp进行 sys驱动加壳使用的的疑惑-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
TkBinary 雪币： 852 活跃值： (9821) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 211 关注私信	TkBinary 5 2 楼文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了. 2023-5-12 19:57 0
我的研究雪币： 128 活跃值： (947) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 46 粉丝 5 关注私信	我的研究 3 楼可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步 2023-5-12 20:13 0
我的研究雪币： 128 活跃值： (947) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 46 粉丝 5 关注私信	我的研究 4 楼 TkBinary 文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了. 可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步 2023-5-12 20:13 0
maxwudi 雪币： 2492 活跃值： (1675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 77 粉丝 0 关注私信	maxwudi 5 楼简单理解都是PE文件，你可以弄个EXE，加入那些后 (SDK) 看看能不能运行，一个原因。 2023-5-13 02:55 0
tDasm 雪币： 14823 活跃值： (6058) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 6 楼用IDA反汇编，看一下代码不就明白了? 2023-5-13 09:15 0
游乐娃子雪币： 7527 活跃值： (5362) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 7 楼 2023-5-13 17:45 0
TkBinary 雪币： 852 活跃值： (9821) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 211 关注私信	TkBinary 5 8 楼我的研究可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被 ... 我的猜想是. 你使用了它的库. 在使用 vmpbegin() 和 end()的时候. 在那个位置定义了一段自定义的代码.此代码可以理解为就是字节码.不能被执行的. 自己的一个标记. 但是你编译是可以正常编译的. 运行的时候不符合PE文件(类似损坏) 当你用它的加壳软件加壳的时候.它会读取自己的标记位置.然后删除标记.并且把你 begin()和end()的这块代码给vmp了. 详情原理需要自己反汇编看看文件. 在你引入begin()的位置. 2023-5-15 10:19 0
wowocock 雪币： 405 活跃值： (2260) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 9 楼用了SDK，在没有加壳得情况下，你导入了他的SYS,而他的sys 没签名，所以加载不了，不过你可以把他的驱动拷贝到当前目录，或者SYSTEM DRIVER目录下，系统启动的时候选择禁止签名加载。 2023-5-16 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
TkBinary 雪币： 852 活跃值： (9821) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 211 关注私信	TkBinary 5 2 楼文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了. 2023-5-12 19:57 0
我的研究雪币： 128 活跃值： (947) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 46 粉丝 5 关注私信	我的研究 3 楼可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步 2023-5-12 20:13 0
我的研究雪币： 128 活跃值： (947) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 46 粉丝 5 关注私信	我的研究 4 楼 TkBinary 文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了. 可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步 2023-5-12 20:13 0
maxwudi 雪币： 2492 活跃值： (1675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 77 粉丝 0 关注私信	maxwudi 5 楼简单理解都是PE文件，你可以弄个EXE，加入那些后 (SDK) 看看能不能运行，一个原因。 2023-5-13 02:55 0
tDasm 雪币： 14823 活跃值： (6058) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 666 粉丝 18 关注私信	tDasm 6 楼用IDA反汇编，看一下代码不就明白了? 2023-5-13 09:15 0
游乐娃子雪币： 7527 活跃值： (5362) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 7 楼 2023-5-13 17:45 0
TkBinary 雪币： 852 活跃值： (9821) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 415 粉丝 211 关注私信	TkBinary 5 8 楼我的研究可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被 ... 我的猜想是. 你使用了它的库. 在使用 vmpbegin() 和 end()的时候. 在那个位置定义了一段自定义的代码.此代码可以理解为就是字节码.不能被执行的. 自己的一个标记. 但是你编译是可以正常编译的. 运行的时候不符合PE文件(类似损坏) 当你用它的加壳软件加壳的时候.它会读取自己的标记位置.然后删除标记.并且把你 begin()和end()的这块代码给vmp了. 详情原理需要自己反汇编看看文件. 在你引入begin()的位置. 2023-5-15 10:19 0
wowocock 雪币： 405 活跃值： (2260) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 9 楼用了SDK，在没有加壳得情况下，你导入了他的SYS,而他的sys 没签名，所以加载不了，不过你可以把他的驱动拷贝到当前目录，或者SYSTEM DRIVER目录下，系统启动的时候选择禁止签名加载。 2023-5-16 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复