首页
社区
课程
招聘
[讨论]请教vmprotect
发表于: 2007-10-2 21:08 8082

[讨论]请教vmprotect

2007-10-2 21:08
8082
碰到vmprotect真的要放弃吗?
跟了二周的一个程序,昨天碰到了vmprotect,不想放弃。。。。
今天下了vmprotect1.22在notepad中随便找了句xor eax eax用vmprotect加了一下。
对比图和结构图如下:

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (11)
雪    币: 87
活跃值: (47)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
2
对比图中vmprotect,为了1句的加密,增加了1个区段,红框所示。

结构图中,一个switch对应41个代码转换部分?转换完成后,再跳回。
2007-10-2 21:14
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
3
没看过VMP,不过只要使用了VM,估计整个VM解释引擎都会加进来,
switch是取pcode指令,下面的一堆case是对各opcode的解释代码
2007-10-3 09:54
0
雪    币: 87
活跃值: (47)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
4
多谢,虚拟机能跳过吗?
跟踪的那个程序,在虚拟机之前可以正常调试,虚拟机之后硬件断点和普通断点都失效。该如何着手下一步工作?
2007-10-3 12:10
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
今天下了vmprotect1.22在notepad中随便找了句xor eax eax用vmprotect加了一下。
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

楼主是随便找了句加的,不过VM可加密的不是一句,是加密直到这段代码后的这个函数的结尾
2007-10-18 15:19
0
雪    币: 87
活跃值: (47)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
6
谢谢指点,这是怎么看出来的?还是跟出来的?
2007-10-18 15:34
0
雪    币: 437
活跃值: (273)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
7
慢慢跟了 爆破还是可以的 看出原来的算法就不太容易了
2007-10-18 17:18
0
雪    币: 87
活跃值: (47)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
8
爆破我没经验,爆破点通常在哪里?跳转吗?
2007-10-18 23:21
0
雪    币: 437
活跃值: (273)
能力值: ( LV12,RANK:240 )
在线值:
发帖
回帖
粉丝
9
以前调试一个用VM保护的软件  RUN跟踪了下 慢慢分析 看从哪里退出的 发现了关键判断代码  没有技术含量 - -
2007-10-19 12:11
0
雪    币: 207
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
是看出来的,不是跟出来的。

VMP加密的时候是以procedure为单位的,在dump窗口中选择要加密的地址,new procedure后,在最左边的tab里就能看到要加密的那段代码,如果加重了会提示错误,我也是加重了才明白的

VMP好东西啊,我也正看的老眼昏花呢
2007-10-19 16:37
0
雪    币: 87
活跃值: (47)
能力值: ( LV12,RANK:250 )
在线值:
发帖
回帖
粉丝
11
了解了 ,多谢。
有什么心得拿出来分享一下吧,我每天都跟一会vmp,没什么进展。。
2007-10-20 10:32
0
雪    币: 181
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
关注vmp的进展
2007-10-30 00:25
0
游客
登录 | 注册 方可回帖
返回
//