首页
社区
课程
招聘
[原创]VMP3.x一键脱壳机
发表于: 2024-1-21 10:26 17419

[原创]VMP3.x一键脱壳机

2024-1-21 10:26
17419

测试环境:win11
软件来源:Vidar - ST团队编写
本程序仅供学习与参考 如有侵权请联系作者删除
蓝奏下载地址https://wwun.lanzn.com/b033dhx6b
密码:cge7

VMP3.x的脱壳机 闲来无事写的 此版本仅支持易语言程序
图片描述
拖入OD直接断GetVersion解码
图片描述

解码后用cmd打开本程序 输入软件进程名
图片描述
自动跑了代码之后会显示OEP地址
图片描述

来到OEP dump出文件
图片描述

可以看到文件已经被dump出来了
图片描述

当然现在还不算完 现在还需要重复上述操作 将dump出来的文件 再次修复处理
图片描述
把dump的文件拖进OD 重复上述操作 再次修复
图片描述

这时候 我们就可以dump了
图片描述

第二次dump的文件 正常运行!!!


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2024-1-21 14:06 被smt_团长编辑 ,原因:
收藏
免费 13
支持
分享
最新回复 (30)
雪    币: 290
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
那不得给你扣个6
2024-1-21 10:31
1
雪    币: 2133
活跃值: (5158)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
希望开源!大佬
2024-1-21 10:43
2
雪    币: 3516
活跃值: (3898)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
厉害了,vmp都能脱。
2024-1-21 11:12
0
雪    币: 290
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
5
院士 厉害了,vmp都能脱。
把他及时雨验证也给他脱了
2024-1-21 12:41
0
雪    币: 3
活跃值: (2624)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
希望能改进下,直接做到一键。  目前的操作太繁琐。
2024-1-21 12:52
0
雪    币: 1617
活跃值: (2390)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
支持64位程序么?
2024-1-21 12:54
0
雪    币: 10
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
楼主,来个百度云链接呗
2024-1-21 13:15
0
雪    币: 3836
活跃值: (4142)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
6666
2024-1-21 13:29
0
雪    币: 2127
活跃值: (1950)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
牛皮
2024-1-21 15:25
0
雪    币: 2915
活跃值: (30836)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
感谢分享
2024-1-21 20:57
1
雪    币: 2188
活跃值: (2126)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
看来我的易语言软件不能用VMP了
2024-1-22 01:31
0
雪    币: 877
活跃值: (1148)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
666
2024-1-22 09:42
0
雪    币: 175
活跃值: (2501)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
厉害了。
2024-1-22 10:02
0
雪    币: 116
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
xggd 看来我的易语言软件不能用VMP了
不是很绝对 如果有些关键代码被VM 也无法一键脱壳
2024-1-25 02:54
0
雪    币: 197
活跃值: (1716)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
为什么我测试的结果 是一闪而过 没有dump出来任何东西
2024-1-27 01:50
0
雪    币: 317
活跃值: (210)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
这都给你做出来了????
2024-1-27 12:19
0
雪    币: 1521
活跃值: (1702)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
真嘟假嘟
2024-1-27 13:18
0
雪    币: 3181
活跃值: (5399)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
哥们,vmp加密的驱动程序,能搞?
2024-1-28 10:10
0
雪    币: 205
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
“把dump的文件拖进OD 重复上述操作 再次修复”
重复上述步骤还需要寻找GetVersion吗 还是直接拖进去 执行软件修复 dump就可以了
2024-1-28 13:51
0
雪    币: 116
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
21
梅雨个个 “把dump的文件拖进OD 重复上述操作 再次修复” 重复上述步骤还需要寻找GetVersion吗 还是直接拖进去 执行软件修复 dump就可以了
直接修复 然后dump即可
2024-1-31 14:34
0
雪    币: 116
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
22
zylrocket 哥们,vmp加密的驱动程序,能搞?
仔细看最上边的文本
2024-1-31 14:34
0
雪    币: 116
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
23
woainihehe 为什么我测试的结果 是一闪而过 没有dump出来任何东西
cmd运行
2024-1-31 14:34
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
24
他这个是纯粹脱掉VMP加的入口区段壳,自建调试+定位特征码到壳解压代码位置硬件断点脱壳原理,至于修复IAT可以参考tmd修复方式,解决基址+重定位就可以了,至于对某个函数或者代码分页进行VMP的话,是基本上脱不掉的得处理opcode+乱序花+膨胀代码+还有jmp表和若干个handle
2024-1-31 17:10
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
25
其实手动脱壳,借助vmp 3.x的插件,bp kernel32!XXXX,到一个合适的代码解压完毕后的API函数位置,然后中断,在返回,栈回溯,就能找到脱壳前的oep.
2024-1-31 17:11
0
游客
登录 | 注册 方可回帖
返回
//