记录VMP3.X对OD检测和E盾过非法工具检测步骤
哈喽大家好,本人小白一枚,来到52的大家庭有一个月左右了{:301_1001:},在这一个月的时间里多多少少看了一些关于破解的教程,就试着自己也来搞一个试试,结果可想而知,一路碰壁{:301_1005:}{:301_972:},在此分享一下我遇到问题和解决方法{:301_998:},希望对后来的朋友有所帮助,第一次发帖大神(大佬)勿喷{:301_997:}----------------------------------------------------------------------------------------------------------------华丽的分割线------------------------------------------------------------------------------------------------------------------
0x1、查壳
说多了都是泪啊,第一个竟然就是传说中的疑难杂症壳(大神都是建议直接回收站),本着学习的目的继续往下走(确实浪费时间)
0x2、拖入OD运行直接遇到第一个问题 “OD检查”
通过各种查找有说附加运行的,有说使用插件的,各种测试没有解决;
#通过(@qqqmyj)的帖子中方法解决了此问题 :
①重新载入程序(不要点运行),下LocalAlloc函数断点,直接Ctrl+G,输入”LocalAlloc“,点击"OK"后F2下断点
下好断点后可以按b进行检查确认断点是否成功,
②然后F9运行,让程序自动跑起来停到断点处;我们在右侧寄存器看到,ESP的值。右键,选中数据窗口中跟随
如果跟随后区域显示的样式与上图不一样可按照下图方式调整(在该区域右键-->长型-->地址)如下图
然后在该区域右键-->查找-->地址,输入00400000如下图
输入完确定以后,可以按Ctrl+L找到如下图中三连续的,地址有可能是和我的一样也有可能不一样,我看了@qqqmyj例子中地址和我的是一样的,不知道是否所有的VMP壳都一样(大神看到可在下面回复补充)
将如上图所示的0000000F改变数值,让它置为0,确定以后,此时数值就会显示为:00000000,即可解决第一个问题
0x3、将前面问题解决,断点取消,继续运行遇到第二个问题 “发现非法工具”
又是一顿胡乱查找才知道是E盾在搞鬼{:301_1006:}{:301_989:};话不说了直接盘他:重新载入程序将第一问题解决以后不要继续运行,将LocalAlloc函数断点禁用或取消,再Ctrl+G,输入”GetMenu“下GetMenu函数断点,然后F9运行,让程序自动跑起来停到断点处
在上图右下角红色框(堆栈处)选中“call到GetMenu”来自xxxxxx,按回车,找到下面的第一大跳转,将跳转改为jmp
在上图修改处进行汇编修改,连续2次(至于为何,我也不清楚,有懂的请在下方解释一下)
将第二次汇编进行撤销
将所有断点删除或禁止F9运行即可进入软件,到此如题问题已全部解决;后面就是破解了,由于技术有限,等后面继续再更 稍微新点的vmp3 版本这个过检测的方法就已经失效了。 疯情都市 发表于 2019-12-30 15:15
感谢分享,我是看到了这个,我才破了有种VMP的,谢谢了,只不过下面的GetMenu,这个是怎么知道的,为什么要找这个 ...
只是总结和查找了一些相关方法,具体一些原理也是不明白,学习中{:301_998:} Hmily 发表于 2019-5-6 14:25
稍微新点的vmp3 版本这个过检测的方法就已经失效了。
大神指的3.2及以上吗{:301_973:} wudiyidashi 发表于 2019-5-6 16:24
·························
真难啊
怎么有种无解的感觉
可想而知我是怎么样的曲折解决的{:301_980:} syc_song 发表于 2019-5-6 16:37
大神指的3.2及以上吗
恩,看这里吧
Bypass Vmp3.2.0 Anti Debugger+ Anti Vmware By.Sound
https://www.52pojie.cn/thread-804661-1-1.html
(出处: 吾爱破解论坛)
优秀教程贴 图文并茂,谢谢楼主分享 血色天空 发表于 2019-5-6 19:59
图文并茂,谢谢楼主分享
一起学习{:301_978:} 感谢分享!!!! 一起学习