[求助]对vmp进行 sys驱动加壳使用的的疑惑-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
TkBinary 雪币： 2415 活跃值： (9240) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2023-5-12 19:57 2 楼 0 文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了.
我的研究雪币： 126 活跃值： (907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 1 关注私信	我的研究 2023-5-12 20:13 3 楼 0 可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步
我的研究雪币： 126 活跃值： (907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 1 关注私信	我的研究 2023-5-12 20:13 4 楼 0 TkBinary 文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了. 可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步
maxwudi 雪币： 2448 活跃值： (1575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	maxwudi 2023-5-13 02:55 5 楼 0 简单理解都是PE文件，你可以弄个EXE，加入那些后 (SDK) 看看能不能运行，一个原因。
tDasm 雪币： 13465 活跃值： (4793) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-5-13 09:15 6 楼 0 用IDA反汇编，看一下代码不就明白了?
lononan 雪币： 9506 活跃值： (4413) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 223 粉丝 38 关注私信	lononan 2023-5-13 17:45 7 楼 0
TkBinary 雪币： 2415 活跃值： (9240) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2023-5-15 10:19 8 楼 0 我的研究可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被 ... 我的猜想是. 你使用了它的库. 在使用 vmpbegin() 和 end()的时候. 在那个位置定义了一段自定义的代码.此代码可以理解为就是字节码.不能被执行的. 自己的一个标记. 但是你编译是可以正常编译的. 运行的时候不符合PE文件(类似损坏) 当你用它的加壳软件加壳的时候.它会读取自己的标记位置.然后删除标记.并且把你 begin()和end()的这块代码给vmp了. 详情原理需要自己反汇编看看文件. 在你引入begin()的位置.
wowocock 雪币： 405 活跃值： (1900) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2023-5-16 11:40 9 楼 0 用了SDK，在没有加壳得情况下，你导入了他的SYS,而他的sys 没签名，所以加载不了，不过你可以把他的驱动拷贝到当前目录，或者SYSTEM DRIVER目录下，系统启动的时候选择禁止签名加载。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
TkBinary 雪币： 2415 活跃值： (9240) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2023-5-12 19:57 2 楼 0 文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了.
我的研究雪币： 126 活跃值： (907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 1 关注私信	我的研究 2023-5-12 20:13 3 楼 0 可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步
我的研究雪币： 126 活跃值： (907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 31 粉丝 1 关注私信	我的研究 2023-5-12 20:13 4 楼 0 TkBinary 文件被破坏了吧. 这个参考下VMP的代码实现. 猜测大概率就是下个标记.你使用VMP加壳软件加壳的时候他会找到这块标记.然后修复. 修复完你再签名就能用了. 可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被破坏吗？我先试试你说的，给使用的 VMProtectBegin()和 VMProtectEnd() 的sys 执行vmp软件加壳后签名试试，看驱动加载工具，安装后能不能启动成功这步
maxwudi 雪币： 2448 活跃值： (1575) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 75 粉丝 0 关注私信	maxwudi 2023-5-13 02:55 5 楼 0 简单理解都是PE文件，你可以弄个EXE，加入那些后 (SDK) 看看能不能运行，一个原因。
tDasm 雪币： 13465 活跃值： (4793) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 626 粉丝 16 关注私信	tDasm 2023-5-13 09:15 6 楼 0 用IDA反汇编，看一下代码不就明白了?
lononan 雪币： 9506 活跃值： (4413) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 223 粉丝 38 关注私信	lononan 2023-5-13 17:45 7 楼 0
TkBinary 雪币： 2415 活跃值： (9240) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 390 粉丝 201 关注私信	TkBinary 5 2023-5-15 10:19 8 楼 0 我的研究可是我还没给sys进行 VMP加壳软件加壳，只是sys源码里一个函数引用了 VMProtectBegin()和 VMProtectEnd() vs2019编译出来的驱动文件sys ，也会被 ... 我的猜想是. 你使用了它的库. 在使用 vmpbegin() 和 end()的时候. 在那个位置定义了一段自定义的代码.此代码可以理解为就是字节码.不能被执行的. 自己的一个标记. 但是你编译是可以正常编译的. 运行的时候不符合PE文件(类似损坏) 当你用它的加壳软件加壳的时候.它会读取自己的标记位置.然后删除标记.并且把你 begin()和end()的这块代码给vmp了. 详情原理需要自己反汇编看看文件. 在你引入begin()的位置.
wowocock 雪币： 405 活跃值： (1900) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2023-5-16 11:40 9 楼 0 用了SDK，在没有加壳得情况下，你导入了他的SYS,而他的sys 没签名，所以加载不了，不过你可以把他的驱动拷贝到当前目录，或者SYSTEM DRIVER目录下，系统启动的时候选择禁止签名加载。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复