实战 -- OD调试过VMProtect虚拟机检测教程(二)
本帖最后由 1095166075 于 2015-9-15 16:13 编辑我在http://www.52pojie.cn/thread-411742-1-1.html 这个帖子中说过一次,那这次我们就不这么啰嗦了。
载入OD,提示对不起,这个程序不能运行在虚拟机内,大概就是这个意思。
重新载入,参考上个帖子的方法,利用FKVMP插件,点击Start,再点击L,来到数据日志窗口,找到retn这个值,复制他的地址。
返回反汇编窗口,Ctrl+G 粘贴地址,来到地址处
上次的帖子中我们借用的是他的第一个Call,那这次没有Call了,怎么办?我们往下找,直接就看到了retn这个值的断尾,那这样其实更简单了,直接在断尾处下段
F9运行,程序断在断尾处,F7进入上图的断尾,来到这里。
F9继续运行,程序返回到我们下段的断尾处
F7再次进入上图的断尾,来到这里。
F9再运行一次,程序又返回到我们下段的断尾处
F7继续进入上图的断尾,程序来到了虚拟机检测的地方,认准 in eax,dx 这段代码
点击B,删除断点
返回反汇编窗口,上次帖子中说的是F7步过一次后,EDXEBX置0,经过测试,其实不步过,直接把EDX置0也是可以的
F9运行,程序成功运行
好了,结束,也是只说怎样过VM检测,不说后面破解的事。
上次的帖子中我们借用的是他的第一个Call,那这次没有Call了,怎么办?我们往下找,直接就看到了retn这个值的断尾,那这样其实更简单了,直接在断尾处下段 ----我们往下找,如何往下找,已F9直接都运行了 貌似很给力 支持一下 嗯。~~很高端的样子哦
感谢大牛啊 什么原理啊 也不说说 {:1_917:} 谢谢分享。。。。 不明觉厉。。。感谢分享,后面有机会试试 好牛逼的样子 学习了 支持大牛{:1_919:} 看不太懂,学习中……
页:
[1]
2