-
-
[原创]VMP 3.8.1 部分handler特征
-
2024-1-21 21:19
3131
-
[原创]VMP 3.8.1 部分handler特征
vmp exit:
popfd 标志vmp虚拟机结束
vm_start:
pushfd 标志vmp虚拟机开始
push:
mov [vsp±imm32(imm32±imm32)],reg32 新版vmp会把imm32混淆
然后现在vmp不知道为什么,他是push imm32两次,对vsp-8,所以需要监测vsp寄存器的变化来认定push
pop:
mov reg,mem
pop imm32两次,对vsp+8,所以需要监测vsp寄存器的变化来判断pop
(add)sub:
push reg1
push reg2
(sub)not reg1
mov reg,mem
mov reg,mem
add reg,reg
(sub)not reg
以上是本人花短时间分析的,插件识别Handler也不是什么难事,还有更多Handler后期会开源
分析软件:VMProtect 3.8.1
环境:Windows 7
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2024-1-21 21:47
被黑蓝编辑
,原因:
