菜菜鸟ESP脱伪VMProtect2.46壳,一字节去校验
本帖最后由 Sound 于 2016-1-1 17:25 编辑一款“刷文网抓包浏览器”,好像加了VM壳的(误报,谢谢7369181cpj大提醒)
作为新人练手吧
OD载入程序,F7单步三次00567B28 60 pushad00567B29 F8 clc ; F7单步到此
发现ESP变红,下命令:hr espF9运行后,断在:00567D8FEB 15 jmp short 刷文网专.00567DA6
F8单步两次,即到OEP。脱壳即可
去校验
OD载入脱壳好的程序
Ctrl+G,在打开的下拉框中输入:00419AF0,确定
即到要修改的偏移
把上面cmp dwordptr ss:,0x0改为:cmp dword ptr ss:,0x1(当然还有好几种该法,自己摸索了吧)
右击“复制到可执行文件”à“所有修改”à“全部复制”再右击“保存文件”保存即可
附件有源文件和破解脱壳后的文件
VMProtect最新版是2.13 你这个怎么是 2.46 难道是我穿越了?
另外。VMP加的壳怎么EP段是.text希望大牛指点。。 Shark恒 发表于 2014-1-27 03:08
建议为新手们写出为何输入00419AF0
期待你更多的作品!
为什么,帖子我看到ctrl+G,就在想为什么 ,网上搜这个表达式00419AF0也没相应的说明,这是计算出来的偏移地址吧,如果是,求恒大详解,如果不是也求详解{:1_931:} 支持一下楼主 嘿嘿! 论坛因你更精彩! 大牛膜拜{:1_921:} VMP的最低保护,不过还是不错的,去自校验那里在详细点就行了 支持一下楼主 嘿嘿! 论坛因你更精彩! esp可以脱vmp么。。。 必须来支持啊。。非常好