2000CB求助个VMP爆破中的小问题

朱朱你堕落了 · 发表于 2020-1-2 16:45

本帖最后由朱朱你堕落了于 2020-1-2 16:47 编辑

上个1000悬赏的贴子https://www.52pojie.cn/thread-1083236-1-1.html没解决，继续提高悬赏到2000CB求解决。
其实那个贴子的问题和本贴的本质上是一样的，所以这次我找了个有代表性的软件。

试练品有三个软件，一个是原版无壳的，一个是加了1.22.3的，一个是加了2.08的。
现在开始比较：
对无壳的CALL进行VM，地址：00453EA4

先看无壳时，当输入正确的注册码123时，ZF=1, 是跳的，eflags=0x246，
无壳时.png

先看1.22.3的，爆破点。
0045E89E > 21D0 and eax,edx
esi==0045813B

如图：
1.22.3.png

这个esi==0045813B我找的是正确的，~0x246=FFFFFDB9
这时与非门是and(0x40, ~eflags)

----------------------------------------------------------------------------------------------

但是如果我把原版无壳的换成加2.08的，爆破点：

0045F3B7 > 21D0 and eax,edx
esi==0045F7C0

这个esi我找的也是正确的

2.08.png

现在的与非门成了and(0x40，eflags)了

为什么有时会：and(0x40, ~eflags)，有时会：and(0x40，eflags)？彻底晕了。。。

求助各位大神解惑，谢谢。

试练品：https://www.lanzouj.com/i8eqmej

梦游枪手 · 发表于 2020-1-2 16:45

& 0x40是取zf标志位，这个你应该知道了，~0x246，既然0x246 的zf标志位是1，那么~0x246的zf标志位就是0了。
简单来讲能写成if (zf==1) jmp 或者 if (zf==0) jmp，可以对应je 和 jnz。
像你这个样本代码是这样
cmp eax,0x7B
je eax1
mov eax,0
retn
eax1:
mov eax,1
retn
但写成这样也是等价的
cmp eax,0x7B
jnz eax0
mov eax,1
retn
eax0:
mov eax,0
retn
因为是等价的，所以vmp在加密的时候中就从上面两种情况随机选了一种来加密。

supercc · 发表于 2020-1-2 20:27

https://bbs.pediy.com/thread-224732.htm 看下这篇文章能不能帮到您

朱朱你堕落了 · 发表于 2020-1-2 21:25

supercc 发表于 2020-1-2 20:27
https://bbs.pediy.com/thread-224732.htm 看下这篇文章能不能帮到您

这个文章看过的，也可能是我没有理解吧。

denglongdehaoya · 发表于 2020-1-3 10:18

可能要肌肉男来赚这1000CB

帐号		自动登录	找回密码
密码			注册[Register]

2000CB求助个VMP爆破中的小问题

最佳答案

点评