求助se虚拟机检测问题
参考贴子地址:https://www.52pojie.cn/thread-598022-1-1.html
问题1:
对x86_se.exe(32位)来说。
1
修改
004C39E8 /75 05 jnz short x86_se.004C39EF
改为:
004C39E8 /EB 05 jmp short x86_se.004C39EF
2
修改
004C3888 55 push ebp
004C3889 8BEC mov ebp,esp
004C388B 83EC 14 sub esp,0x14
改为:
004C3888 B8 00000000 mov eax,0x0
004C388D C3 retn
xp上修改上面两处地址就能跳过se的虚拟机检测
为什么在win7 64位上这两个地址却断不下来呢?很神奇。
是什么导致它断不下来呢?
///////////////////////////////////////////////////////////////
问题2
我随便编译了个x64的MFC程序,添加se虚拟机检测,如果是X64的,这两处在哪里呢?
使用x86上的方法找不到,也许是姿势不对吧,请问如何找?
测试程序:
https://www.123pan.com/s/YL29-UiTRh 在 004C6C03 中断,继续往下,在retn的时候eax的FC改成0就可以了
https://www.52pojie.cn/thread-1937326-1-1.html
hszt 发表于 2024-9-21 11:01
在 004C6C03 中断,继续往下,在retn的时候eax的FC改成0就可以了
https://www.52pojie.cn/thread-193732 ...
大佬,测试程序里有个64位的,针对64位有什么通用的特征码吗? 估计找不到,因为x86和x64指令有些区别,可以试试在程序中找个地方,把x86的指令改成x64的,主要是寄存器,比如eax改为rax,立即数给他??,改了看看机器码,再搜……
没试,不一定行,只提供尝试思路,见谅…… 朱朱你堕落了 发表于 2024-9-21 11:14
大佬,测试程序里有个64位的,针对64位有什么通用的特征码吗?
64的没研究过 hszt 发表于 2024-9-21 11:01
在 004C6C03 中断,继续往下,在retn的时候eax的FC改成0就可以了
https://www.52pojie.cn/thread-193732 ...
至今没找到X64的方法,算了,结贴给大佬了。
页:
[1]