-
-
[讨论]关于VMProtect追加信息的疑惑
-
发表于: 2023-8-1 16:21
-
今天非常高兴,完成了自己的IOCP服务端.[虽然使用的是HPSocket库,但其实之前我有认真研究过的,但似乎自己写的终究是不完善,一开始有内存泄漏问题,后来缓存多线程交互处理不好,再后来我发现了HPSocket]。 
等会,这和我们今天的题目有设么关系?
当然没关系!
有一个年轻人告诉我要给软件加上VMP看看效果,立马从论坛下了3.8.2 反手拖进去编译(突然,萌生的想法让我关掉了全部保护)
究竟哪里不一样??
大小不一样 差在哪里了??
这里的变化很微小,并不能说明什么
这里加了一大堆不太清楚功能的东西,追加在文件末尾,不知道是什么
在文件末尾竟然有一堆xml格式文本
我反手掏出来精心制作的DLL
能看到我文件的相关信息 比如描述、版本、作者、文件名
询问他人,我知道了VMProtect会把授权信息写入文件,比如这个正版VMP授权给Uioa,那么文件就会有相关信息,但是我没找到。
这种机制引发了一个严重的问题,就是软件会被特征,比如今天有一个病毒加了VMProtect的壳子,你在网上找来找去找到这么一个,恰恰跟他是同一个泄露版本,你就可能被杀毒软件看做成病毒。
这也给我们提供了一个新的思路,一些灰产,游戏脚本都会通过加壳来保护自己,游戏安全等团队可以通过搜集泄露的授权来对海量文件进行筛选,着重分析授权与泄露雷同的软件,去辨认是不是第三方插件,会不会破坏游戏公平,系统安全。
知己知彼,既然知道了有这么一个东西,在不影响使用VMProtect的情况下该如何去抹除他,防止软件被恶意特征,也是一个重要议题,希望大佬们能分享分享经验。
非专业逆向开发人员,所述多有纰漏,若有指出,一定改正,行业新手,望大佬们海涵。
你好!看雪
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
这个早就有,网上有weblm的泄漏版本,PHP的很好搭建,也可以自己开发一个web端,满足下HTTP请求接口即可。 原理就是通过网络连接服务器端动态生成一个VMP的许可给客户端使用。 |
|
|
楼主,你说的那个被附加到PE尾部的是manifest文件,这个不是VMP要加的,而是微软要求DLL或EXE都要有这个文件,用于描述对操作系统运行时库版本等兼容要求和运行权限等用的。 至于你说的VMP会内嵌水印,这个是肯定的,加壳后的版本都会有,不过用于做特征定位没那么简单。因为水印并不是明文存放的,而是加密存放在PE文件中的,就是有原始水印都很难分析出PE中加壳后的水印在哪,非加壳者没有原始水印想分析出其他人加壳用的的水印更不容易。 |
|
|
感谢哥哥,已经找到了在测试了 |
|
|
好的,了解了,现在就去学习学习,是了解到游戏安全工作者在特征辅助脚本的时候,可能会在exe dll sys中去寻找追加的授权信息,进行特征。 |
