首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 加壳脱壳
    3. 发新帖
[原创]VMP3.x一键脱壳机
2024-1-21 10:26 8477

[原创]VMP3.x一键脱壳机

smt_团长 活跃值
2024-1-21 10:26
8477

测试环境:win11
软件来源:Vidar - ST团队编写
本程序仅供学习与参考 如有侵权请联系作者删除
蓝奏下载地址https://wwun.lanzn.com/b033dhx6b
密码:cge7

VMP3.x的脱壳机 闲来无事写的 此版本仅支持易语言程序
图片描述
拖入OD直接断GetVersion解码
图片描述

解码后用cmd打开本程序 输入软件进程名
图片描述
自动跑了代码之后会显示OEP地址
图片描述

来到OEP dump出文件
图片描述

可以看到文件已经被dump出来了
图片描述

当然现在还不算完 现在还需要重复上述操作 将dump出来的文件 再次修复处理
图片描述
把dump的文件拖进OD 重复上述操作 再次修复
图片描述

这时候 我们就可以dump了
图片描述

第二次dump的文件 正常运行!!!


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2024-1-21 14:06 被smt_团长编辑 ,原因:
收藏
点赞8
打赏
分享
最新回复 (26)
全栈练习生
雪    币: 71
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
全栈练习生 2024-1-21 10:31
2
1
那不得给你扣个6
Oxygen1a1
雪    币: 1732
活跃值: (4385)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
Oxygen1a1 2024-1-21 10:43
3
2
希望开源!大佬
院士
雪    币: 2511
活跃值: (2790)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
院士 2024-1-21 11:12
4
0
厉害了,vmp都能脱。
全栈练习生
雪    币: 71
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
全栈练习生 2024-1-21 12:41
5
0
院士 厉害了,vmp都能脱。
把他及时雨验证也给他脱了
eewwqq
雪    币: 12
活跃值: (1864)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
eewwqq 2024-1-21 12:52
6
0
希望能改进下,直接做到一键。  目前的操作太繁琐。
zhongtiany
雪    币: 903
活跃值: (1475)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
zhongtiany 2024-1-21 12:54
7
0
支持64位程序么?
mb_ldbucrik
雪    币: 6
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
mb_ldbucrik 2024-1-21 13:15
8
0
楼主,来个百度云链接呗
caolinkai
雪    币: 3700
活跃值: (3879)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
caolinkai 2024-1-21 13:29
9
0
6666
神逗士
雪    币: 1030
活跃值: (990)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
神逗士 2024-1-21 15:25
10
0
牛皮
秋狝
雪    币: 19569
活跃值: (29252)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
秋狝 2024-1-21 20:57
11
1
感谢分享
xggd
雪    币: 1364
活跃值: (1276)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xggd 2024-1-22 01:31
12
0
看来我的易语言软件不能用VMP了
mb_xuxpsolj
雪    币: 622
活跃值: (824)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
mb_xuxpsolj 2024-1-22 09:42
13
0
666
xingbing
雪    币: 177
活跃值: (1916)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xingbing 2024-1-22 10:02
14
0
厉害了。
smt_团长
雪    币: 111
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
smt_团长 2024-1-25 02:54
15
0
xggd 看来我的易语言软件不能用VMP了
不是很绝对 如果有些关键代码被VM 也无法一键脱壳
woainihehe
雪    币: 197
活跃值: (1376)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
woainihehe 2024-1-27 01:50
16
0
为什么我测试的结果 是一闪而过 没有dump出来任何东西
Henglie
雪    币: 307
活跃值: (185)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Henglie 2024-1-27 12:19
17
0
这都给你做出来了????
mb_iunhvspv
雪    币: 885
活跃值: (973)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
mb_iunhvspv 2024-1-27 13:18
18
0
真嘟假嘟
zylrocket
雪    币: 2670
活跃值: (4399)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
zylrocket 2024-1-28 10:10
19
0
哥们,vmp加密的驱动程序,能搞?
梅雨个个
雪    币: 205
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
梅雨个个 2024-1-28 13:51
20
0
“把dump的文件拖进OD 重复上述操作 再次修复”
重复上述步骤还需要寻找GetVersion吗 还是直接拖进去 执行软件修复 dump就可以了
smt_团长
雪    币: 111
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
smt_团长 2024-1-31 14:34
21
0
梅雨个个 “把dump的文件拖进OD 重复上述操作 再次修复” 重复上述步骤还需要寻找GetVersion吗 还是直接拖进去 执行软件修复 dump就可以了
直接修复 然后dump即可
smt_团长
雪    币: 111
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
smt_团长 2024-1-31 14:34
22
0
zylrocket 哥们,vmp加密的驱动程序,能搞?
仔细看最上边的文本
smt_团长
雪    币: 111
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
smt_团长 2024-1-31 14:34
23
0
woainihehe 为什么我测试的结果 是一闪而过 没有dump出来任何东西
cmd运行
网络游侠
雪    币: 9
活跃值: (939)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
网络游侠 2024-1-31 17:10
24
0
他这个是纯粹脱掉VMP加的入口区段壳,自建调试+定位特征码到壳解压代码位置硬件断点脱壳原理,至于修复IAT可以参考tmd修复方式,解决基址+重定位就可以了,至于对某个函数或者代码分页进行VMP的话,是基本上脱不掉的得处理opcode+乱序花+膨胀代码+还有jmp表和若干个handle
网络游侠
雪    币: 9
活跃值: (939)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
网络游侠 2024-1-31 17:11
25
0
其实手动脱壳,借助vmp 3.x的插件,bp kernel32!XXXX,到一个合适的代码解压完毕后的API函数位置,然后中断,在返回,栈回溯,就能找到脱壳前的oep.
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回