首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [讨论]VMProtect脱壳调试结果[已解决] 0.00雪花
发表于: 2009-3-9 18:22 25144

[旧帖] [讨论]VMProtect脱壳调试结果[已解决] 0.00雪花

xxp8521 活跃值
2009-3-9 18:22
25144
OD载入,运行
7C812AEB    5E              pop     esi                              
7C812AEC    C9              leave
7C812AED    C2 1000         retn    10
7C812AF0    85FF            test    edi, edi
7C812AF2  ^ 0F8E 3693FFFF   jle     7C80BE2E
7C812AF8    8B55 FC         mov     edx, dword ptr [ebp-4]
7C812AFB    8955 0C         mov     dword ptr [ebp+C], edx
7C812AFE    0FB716          movzx   edx, word ptr [esi]
7C812B01    8B7D F8         mov     edi, dword ptr [ebp-8]
7C812B04    8A143A          mov     dl, byte ptr [edx+edi]
7C812B07    8811            mov     byte ptr [ecx], dl
7C812B09    8B78 0C         mov     edi, dword ptr [eax+C]
7C812B0C    0FB6D2          movzx   edx, dl
7C812B0F    66:8B1457       mov     dx, word ptr [edi+edx*2]
7C812B13    66:3B16         cmp     dx, word ptr [esi]
7C812B16    0F85 888B0300   jnz     7C84B6A4
7C812B1C    8B50 08         mov     edx, dword ptr [eax+8]
7C812B1F    66:8B5A 04      mov     bx, word ptr [edx+4]
7C812B23    3819            cmp     byte ptr [ecx], bl
7C812B25    0F84 868B0300   je      7C84B6B1
7C812B2B    46              inc     esi
7C812B2C    46              inc     esi
7C812B2D    41              inc     ecx
7C812B2E    FF4D 0C         dec     dword ptr [ebp+C]
7C812B31  ^ 75 CB           jnz     short 7C812AFE
7C812B33  ^ E9 F692FFFF     jmp     7C80BE2E
                        
                        
OD初步分析是伪装,检测不出来,大家来看看吧

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (15)
peeler
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
VMProtect 1.70.4
2009-3-9 20:22
0
ucantseeme
雪    币: 442
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
()

我很菜,高手们不要揭穿我

http://www.namipan.com/d/unpack.rar/3d2f977ed90187771b554baa874ff88a6af54dd344932600
2009-3-9 21:22
0
peeler
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
过谦了,如果只是在本机当次运行的话VM用PEID插件就能行。很久以前我说过了。

换了机器,或者重启就没用了,毕竟IAT没修复。脱壳文件只是记忆了当前系统的IAT地址。

如果想试试伪手工脱的话下 bp  VirtualProtect 断点 然后CODE段下中断。运行即可到OEP。

但是和PEID插件脱壳效果一样。
2009-3-9 21:49
0
xxp8521
雪    币: 94
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
感谢三楼的朋友,我下载了在程序中测试,不可使用,可能如四楼的朋友所说,IAT没修复好,继续期待。
2009-3-10 00:06
0
ucantseeme
雪    币: 442
活跃值: (43)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
你放的程序本身就无法使用()
2009-3-10 07:03
0
xxp8521
雪    币: 94
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
感谢六楼关注,这个exe是程序中的一个文件,用peid脱后,换了机器,就没用
2009-3-10 08:38
0
xxp8521
雪    币: 94
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
寻找完美脱壳文件
2009-3-10 14:44
0
静慕者
雪    币: 144
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
谁能解释一下怎么弄?~完全不明白
2009-3-10 16:18
0
xxp8521
雪    币: 94
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
peid插件脱后,换了机器,就没用了,希望有高手修复一下
2009-3-10 21:24
0
xxp8521
雪    币: 94
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
再次顶一下,看看有没高手出现
2009-3-12 19:44
0
xzchina
雪    币: 615
活跃值: (1127)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
12
别再碰它了...
2009-3-12 19:58
0
LinPhi
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
VMP可以打内存补丁吗?
2009-3-12 23:50
0
jcctzqs
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
hehe,PEID插件脱壳可以  手动脱壳练技术
2009-5-18 09:16
0
yusy
雪    币: 186
活跃值: (47)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
PEID插件也能脱VMP ?? 请指点一下,具体是那个啊
2009-5-18 13:16
0
hccphcq
雪    币: 92
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
对这个插件很感兴趣,能提供下载地址不?
2009-12-7 13:50
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//