随笔分类 - VMP(01)
他乡
摘要:1、简单的VMProtect v1.223壳 1.1、工具: OD CFF Explorer IV ExeInfoPe (ASL大牛 写的工具) PEiD 0.94 【02:00】开始载入od分析 【06:00】用CFF将 某区段 删掉 2、脱VMP1.70.4壳(进阶) ZC: 这里面打包了工具:
阅读全文
摘要:PS: 52pojie 注册需要邀请码,买的话 一个19元,可以发牛人文章... 1、 谈谈VMP2.05的脱壳修复以及跨平台 http://www.52pojie.cn/thread-90679-1-1.html 2、找 kissy脱VMP两个视频 时发现的: http://www.52pojie
阅读全文
摘要:【01:55】"VMP1.7 IAT修复脚本.txt"、"VMP IAT高级处理脚本.osc"、"VMProtect 修复脚本.txt"、"vmp_iat.osc" 【05:15】先不看脚本,先自己写一下 【09:35】(ZC: 又不自己写了...) 直接拿 "VMP1.7 IAT修复脚本.txt"
阅读全文
摘要:【02:28】ZC: 堆栈最顶端,kernel32.7C817077 上面设置断点 硬件写入 字节 【12:12】最主要让大家掌握:通过 内存保护断点VirtualProtect 到达正确的OEP的时机,找到正确的OEP,然后在空代码处 修复OEP,从而 脱掉VMP1.8x的壳 Z
阅读全文
摘要:01、VMProtect 脱壳理论与逆向分析02、VMProtect 1.6x版 完美脱壳03、VMProtect 1.704(VB) 脱壳实战04、VMProtect 1.6x~1.8 脱壳分析05、自创法脱 VMProtect 1.6~1.7.0406、VMProtect 1.8x 脱壳实战07
阅读全文
摘要:ZC: 好几处 没看懂... 需要回看 【00:40】PEiD查壳,节"ppptr0"/节"ppptr1"/节"ppptr2",这个壳 明显就是VMP的。应该是个BC++的程序 【01:15】die 0.64,显示 是BC++ 【01:28】OD加载 【01:35】直接使用 ESP定律,断点 硬件访
阅读全文
摘要:ZC: 本讲中,OD中异常的设置 是什么样的?默认的全部忽略? 【00:38】PEiD显示:节 vmp0/vmp1/vmp2 证明 这个壳的版本还比较高,有3个VMP段,保护比较强烈 【01:28】die_0[1].64.rar 【01:38】软件标题:“Detect it Easy 0.64” 【
阅读全文
摘要:1、第4课 【00:22】PEiD v0.95 【01:38】“die_0[1].64.rar” ==> 软件标题:“Detect it Easy 0.64” ZC: 应该主要看的是 "Compler" 和 "LinkerInfo" 的信息 2、 3、 4、 5、
阅读全文
摘要:【00:10】网址“www.jxsrjy.com”貌似打不开了... QQ号:751350937 【01:05】首先我们要判断出,它是 VMP壳。 工具: “FastScanner 3” ==> 它只认识 VMP v1.704 【01:33】exeinfope (ZC: 视频里面这个工具没有显示出来
阅读全文
浙公网安备 33010602011771号