[求助]实在是看不出这是个啥壳！（一个简单虚拟机保护）-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼 bp VirtualAlloc,2次后在code下访问断点,来到: 00406A73 0000 add byte ptr ds:[eax],al 00406A75 0000 add byte ptr ds:[eax],al 00406A77 0000 add byte ptr ds:[eax],al 00406A79 83EC 58 sub esp,58 ; foep 00406A7C 53 push ebx 2007-9-7 08:13 0
blackeyes 雪币： 295 活跃值： (346) 能力值： ( LV9，RANK：530 ) 在线值：发帖 19 回帖 99 粉丝 1 关注私信	blackeyes 13 3 楼一简单的虚拟机, 虚拟机入口为0041E164, 带一参数, 为虚拟指令的起始地址. 0041E16B 8B7424 28 mov esi, dword ptr [esp+28] // 取参数, 虚拟指令的起始地址 0041E16F FC cld 0041E170 BF 86DF4100 mov edi, 0041DF86 0041E175 033424 add esi, dword ptr [esp] 0041E178 AC lods byte ptr [esi] // 取一条指令 0041E179 0FB6C0 movzx eax, al 0041E17C FF3485 00904200 push dword ptr [eax*4+429000] ; // 每条指令对应的地址 0041E183 C3 retn // 跳去执行指令共 256 条虚拟指令, 对应的执行代码地址表在429000-4293FF中, 共 256 组代码. 其中, 虚拟指令3F 相当于 retn, 比较关键脱壳很简单, bp GetVersion 就可找到OEP: 00406A79, 与upx难度一样把它的虚拟机全搞明白, 可不是一时三刻的功夫可搞定的. 2007-9-7 08:18 0
xyguotao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	xyguotao 4 楼楼上大牛！我正好学脱壳学到VM部分，这个简单VM将使我跨出第一步。感谢！ 2007-9-7 08:59 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 5 楼 NSP+VMP(最小化)? 2007-9-7 10:20 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 6 楼 vmprotect 1.5 demo.比1。22差了10.8万千里. 2007-9-7 14:26 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 7 楼确实 VM1。22十分强悍我是搞不懂（1。5其实也…………） 2007-10-5 00:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼 bp VirtualAlloc,2次后在code下访问断点,来到: 00406A73 0000 add byte ptr ds:[eax],al 00406A75 0000 add byte ptr ds:[eax],al 00406A77 0000 add byte ptr ds:[eax],al 00406A79 83EC 58 sub esp,58 ; foep 00406A7C 53 push ebx 2007-9-7 08:13 0
blackeyes 雪币： 295 活跃值： (346) 能力值： ( LV9，RANK：530 ) 在线值：发帖 19 回帖 99 粉丝 1 关注私信	blackeyes 13 3 楼一简单的虚拟机, 虚拟机入口为0041E164, 带一参数, 为虚拟指令的起始地址. 0041E16B 8B7424 28 mov esi, dword ptr [esp+28] // 取参数, 虚拟指令的起始地址 0041E16F FC cld 0041E170 BF 86DF4100 mov edi, 0041DF86 0041E175 033424 add esi, dword ptr [esp] 0041E178 AC lods byte ptr [esi] // 取一条指令 0041E179 0FB6C0 movzx eax, al 0041E17C FF3485 00904200 push dword ptr [eax*4+429000] ; // 每条指令对应的地址 0041E183 C3 retn // 跳去执行指令共 256 条虚拟指令, 对应的执行代码地址表在429000-4293FF中, 共 256 组代码. 其中, 虚拟指令3F 相当于 retn, 比较关键脱壳很简单, bp GetVersion 就可找到OEP: 00406A79, 与upx难度一样把它的虚拟机全搞明白, 可不是一时三刻的功夫可搞定的. 2007-9-7 08:18 0
xyguotao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	xyguotao 4 楼楼上大牛！我正好学脱壳学到VM部分，这个简单VM将使我跨出第一步。感谢！ 2007-9-7 08:59 0
沙加雪币： 192 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 160 粉丝 0 关注私信	沙加 1 5 楼 NSP+VMP(最小化)? 2007-9-7 10:20 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 6 楼 vmprotect 1.5 demo.比1。22差了10.8万千里. 2007-9-7 14:26 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 7 楼确实 VM1。22十分强悍我是搞不懂（1。5其实也…………） 2007-10-5 00:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复