首页
社区
课程
招聘
请问一下是不是经过VMP后的算法不可以逆向!
发表于: 6天前 2869

请问一下是不是经过VMP后的算法不可以逆向!

6天前
2869

我有一个加密锁的模拟DLL文件被VMP加了壳,和加了一个S4锁的限制,现在要做二次修改但是里面的算法被VMP里面的算法无法逆向,有没有大神帮我看一下给个思路。从那方面入手才可以解决这个文件里的VMP过的算法。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 6天前 被xzc263263编辑 ,原因:
上传的附件:
收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 7089
活跃值: (3827)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
找到里面的加密子程序   HOOK到自己的函数里面去随便怎么改都行
6天前
0
雪    币: 3586
活跃值: (3168)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
VM过的算法,基本无解,目前的公开的教程都是jcc爆破和脱壳相关,混淆虚拟化指令分析光是课程就能卖大几千
6天前
0
雪    币: 7882
活跃值: (4579)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
思路就是分析底层api 获取到原始加密锁软件通讯数据,然后自己写这个dll进行模拟,不需要解决被加密的dll
6天前
0
雪    币: 88
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
sinkay 找到里面的加密子程序 HOOK到自己的函数里面去随便怎么改都行
问题是加发VMP还加了一个S4锁的限制,
5天前
0
雪    币: 88
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
romobin 思路就是分析底层api 获取到原始加密锁软件通讯数据,然后自己写这个dll进行模拟,不需要解决被加密的dll
原锁的算法也是比较复杂,我估计也是换个思路获取原始加密锁的软件的通讯数据这个样可能会比这个要好做点,你可以做吗私信一下我
5天前
0
雪    币: 7882
活跃值: (4579)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
二次加密虚拟化必然要比原版分析难度大了,原版用到vmp的非常罕见了,影响运行效率,用户体验,还容易误报。跟D加密一样。所以原版光着身子不是随便折腾吗?无非就是算法分析了。最起码工作量没这么大
5天前
0
雪    币: 88
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这个DLL不太像是直接模拟了深S五锁的底层,更像是劫持功能。不能直接看到锁内数据。要是模拟的可以直接看到部份前端的数据,底层像是没有模拟讨论746400209
4天前
0
雪    币: 88
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
romobin 二次加密虚拟化必然要比原版分析难度大了,原版用到vmp的非常罕见了,影响运行效率,用户体验,还容易误报。跟D加密一样。所以原版光着身子不是随便折腾吗?无非就是算法分析了。最起码工作量没这么大
S5你熟悉吗
私信一下我聊一下
4天前
0
雪    币: 2031
活跃值: (3329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
romobin 二次加密虚拟化必然要比原版分析难度大了,原版用到vmp的非常罕见了,影响运行效率,用户体验,还容易误报。跟D加密一样。所以原版光着身子不是随便折腾吗?无非就是算法分析了。最起码工作量没这么大
底层的数据通信函数兄弟有没有研究
4天前
0
雪    币: 2031
活跃值: (3329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
romobin 二次加密虚拟化必然要比原版分析难度大了,原版用到vmp的非常罕见了,影响运行效率,用户体验,还容易误报。跟D加密一样。所以原版光着身子不是随便折腾吗?无非就是算法分析了。最起码工作量没这么大

正常是

CreateDirectoryW、CreateFileW之后就HID.DLL或者是setupapi.dll模拟狗,但还有一个最关键的就是数据通信。

最后于 4天前 被学习班编辑 ,原因:
4天前
0
雪    币: 88
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
wonghouleong VM过的算法,基本无解,目前的公开的教程都是jcc爆破和脱壳相关,混淆虚拟化指令分析光是课程就能卖大几千
看来这个是无解了,有什么可行的方案可以解决。我觉得这个不是纯模拟的而是把返回的数据放在DLL文件里了根本不去读锁里数据了
4天前
0
游客
登录 | 注册 方可回帖
返回
//