如何在64位win11下使用x64dbg过vmp
我正在试图使用调试器运行一个64位应用程序,使用exeinfo分析出来是使用了VMP 3.5.1的壳因为这个程序只有64位版本(我手头也没有32位虚拟机),OD直接闪退。
使用x64dbg打开后显然被检测到了,尝试安装了HyperHide插件,但是不知道有没有成功:服务airhv没有正常启动。
继续使用x64dbg直接运行(profile选择了VMP的),仍然可以被检测。
于是找到了这个视频:https://www.bilibili.com/video/BV1G84y1i762
视频中给NtQueryInfomationProcess和NtSetInfomationTheard分别设置了rdx == 0x07 || rdx == 0x1E和rdx == 0x11的条件断点。
我设置完断点后运行,发现只触发了NtSetInfomationTheard 15次,而且条件都不满足。
我试图去掉断点的条件(怀疑是我自己的问题),虽然可以在NtSetInfomationTheard处停止(NtQueryInfomationProcess还是一次都没有),但是条件仍然不满足。在经过断点5次(!不知道为什么原来的15次就变少了,而且之后一直都是5次了)后程序直接弹窗退出。
看到一些文章说64位的壳比32位的难脱,是这样吗?(但是这玩意只有64位版本) 随风起舞 发表于 2023-8-20 14:20
我试过了,确实能过vmp3.8.1的,只要你开启插件功能就行了
就是在选项里面选上VMP就可以了?我这里这样还是会被检测到啊 本帖最后由 冥界3大法王 于 2023-8-20 09:30 编辑
@Ken0712
VMware虚拟机里又换了一个版本 Win10
(ed2k://|file|zh-cn_windows_10_business_editions_version_22h2_updated_july_2023_x64_dvd_62f461c9.iso|6047094784|DD81EBA8C875B90DFFB9078D1AC01604|/)
打开 52破解VMP hellowold.exe 成功调试
【
https://www.52pojie.cn/thread-1793931-1-1.html
原贴写错了。
"C:\Users\CC\Desktop\x64dbg\x32\plugins\Scripts\create.bat" 运行之后
那个on.bat再运行会报错;此时再运行x32dbg.exe,再设置插件】
{:301_987:} 我在虚拟机Win11里测试
开启服务
复制驱动之后
那个x32dbg.exe根本就打不开了。 bcdedit /set testsigning off
删除*.sys文件
删除插件
x32dbg.exe还是运行不起来了
无奈的又复制了一个其他版本的就可以打开了。
是不是不支持win11?有测试成功的没有? @JustMoveForward
@随风起舞
@Link_Stark
好像与那两个*.sys的签名有关
故此sc 运行才会报错。 冥界3大法王 发表于 2023-8-20 09:26
@Ken0712
VMware虚拟机里又换了一个版本 Win10
(ed2k://|file|zh-cn_windows_10_business_editions_versi ...
我打开没问题,插件窗口什么的都可以正常打开,但是不知道有没有用,不知道是插件没有成功启动还是绕不过去 Ken0712 发表于 2023-8-20 11:40
我打开没问题,插件窗口什么的都可以正常打开,但是不知道有没有用,不知道是插件没有成功启动还是绕不过 ...
我试过了,确实能过vmp3.8.1的,只要你开启插件功能就行了 随风起舞 发表于 2023-8-20 14:20
我试过了,确实能过vmp3.8.1的,只要你开启插件功能就行了
能调试算不算成功?