首页
社区
课程
招聘
[讨论]关于VMProtect追加信息的疑惑
发表于: 2023-8-1 16:21 4459

[讨论]关于VMProtect追加信息的疑惑

2023-8-1 16:21
4459

今天非常高兴,完成了自己的IOCP服务端.[虽然使用的是HPSocket库,但其实之前我有认真研究过的,但似乎自己写的终究是不完善,一开始有内存泄漏问题,后来缓存多线程交互处理不好,再后来我发现了HPSocket]。

等会,这和我们今天的题目有设么关系?

当然没关系!

有一个年轻人告诉我要给软件加上VMP看看效果,立马从论坛下了3.8.2 反手拖进去编译(突然,萌生的想法让我关掉了全部保护)

究竟哪里不一样??

大小不一样 差在哪里了??

这里的变化很微小,并不能说明什么

这里加了一大堆不太清楚功能的东西,追加在文件末尾,不知道是什么

在文件末尾竟然有一堆xml格式文本

我反手掏出来精心制作的DLL

能看到我文件的相关信息 比如描述、版本、作者、文件名

询问他人,我知道了VMProtect会把授权信息写入文件,比如这个正版VMP授权给Uioa,那么文件就会有相关信息,但是我没找到。

这种机制引发了一个严重的问题,就是软件会被特征,比如今天有一个病毒加了VMProtect的壳子,你在网上找来找去找到这么一个,恰恰跟他是同一个泄露版本,你就可能被杀毒软件看做成病毒。

这也给我们提供了一个新的思路,一些灰产,游戏脚本都会通过加壳来保护自己,游戏安全等团队可以通过搜集泄露的授权来对海量文件进行筛选,着重分析授权与泄露雷同的软件,去辨认是不是第三方插件,会不会破坏游戏公平,系统安全。

知己知彼,既然知道了有这么一个东西,在不影响使用VMProtect的情况下该如何去抹除他,防止软件被恶意特征,也是一个重要议题,希望大佬们能分享分享经验。

非专业逆向开发人员,所述多有纰漏,若有指出,一定改正,行业新手,望大佬们海涵。

你好!看雪


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (6)
雪    币: 59
活跃值: (1481)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
是的,vmp加壳是带文件水印的。多年前,大佬们曾经魔改过一个2.x的版本,使得加壳之后的exe不带文件水印。至于现在的版本能不能搞,要看大佬们肯不肯出手了。
2023-8-1 20:46
0
雪    币: 99
活跃值: (398)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
vmp出了一个网络验证叫weblm,有大哥用过吗,很少有资料哎
2023-8-1 23:47
0
雪    币: 1790
活跃值: (3786)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
Uioa vmp出了一个网络验证叫weblm,有大哥用过吗,很少有资料哎
这个早就有,网上有weblm的泄漏版本,PHP的很好搭建,也可以自己开发一个web端,满足下HTTP请求接口即可。 原理就是通过网络连接服务器端动态生成一个VMP的许可给客户端使用。 
2023-8-2 08:48
0
雪    币: 1790
活跃值: (3786)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
Uioa vmp出了一个网络验证叫weblm,有大哥用过吗,很少有资料哎
楼主,你说的那个被附加到PE尾部的是manifest文件,这个不是VMP要加的,而是微软要求DLL或EXE都要有这个文件,用于描述对操作系统运行时库版本等兼容要求和运行权限等用的。
      至于你说的VMP会内嵌水印,这个是肯定的,加壳后的版本都会有,不过用于做特征定位没那么简单。因为水印并不是明文存放的,而是加密存放在PE文件中的,就是有原始水印都很难分析出PE中加壳后的水印在哪,非加壳者没有原始水印想分析出其他人加壳用的的水印更不容易。
2023-8-2 08:53
0
雪    币: 99
活跃值: (398)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
拍拖 这个早就有,网上有weblm的泄漏版本,PHP的很好搭建,也可以自己开发一个web端,满足下HTTP请求接口即可。 原理就是通过网络连接服务器端动态生成一个VMP的许可给客户端使用。
感谢哥哥,已经找到了在测试了
2023-8-2 11:45
0
雪    币: 99
活跃值: (398)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
拍拖 楼主,你说的那个被附加到PE尾部的是manifest文件,这个不是VMP要加的,而是微软要求DLL或EXE都要有这个文件,用于描述对操作系统运行时库版本等兼容要求和运行权限等用的。 至于 ...
好的,了解了,现在就去学习学习,是了解到游戏安全工作者在特征辅助脚本的时候,可能会在exe dll sys中去寻找追加的授权信息,进行特征。
2023-8-2 11:46
0
游客
登录 | 注册 方可回帖
返回
//