易语言VMP如何定位OEP和脱壳

Only1Studio

我最近在研究脱壳，从压缩壳到加密壳然后现在到了VMP，搞得我一头雾水，看了他乡的VMP脱壳教程，也看了画眉老视也就是NCK的中级班教程。
然而一直不知道易语言怎么找OEP，根据一篇帖子的说法，找到的却不是正确的OEP。
我下载了VMP的旧版本开始研究。

从VMProtect v.1.6x开始，载入OD后下VirtualProtect断点，然后F9并记录多少次程序跑飞，然后重新载入，下断点，在跑飞的前一次停下，取消VirtualProtect断点，到内存中在text节上下断点，然后F9运行一次后程序会到达这个位置：

然后根据那篇帖子讲的到401000处查找命令序列，找易语言的oep前三段：
push ebp
mov ebp,esp
push -0x1
找到后是这样子的：

这里不是正确的OEP地址，但是奇怪的地方就是我用LordPE脱居然能脱下来而且能运行！！！！
然后我去看了某视频教程，用FKVMP插件，查找用户注释，找到retn然后在text节下断点，然后转到retn的地址下断点，F9启动就跳转到OEP了。
但是这要靠FKVMP插件，我想知道如何手动，不靠任何插件，脚本找到OEP，然后脱壳修复就不谈了，现在我卡在了找OEP这里。
希望能学到一些找VMP的OEP的知识。

可以用我给的例子，打包了两个版本https://www.lanzouj.com/iaysure

Hmily

Only1Studio 发表于 2020-4-3 20:23
我研究脱壳，是自己加的壳研究的，找OEP的目的就是脱壳呀。

最简单的说，等代码解压后，对代码段下断，中断后就到OEP了，插件也是这么做的。

Hmily

如果oep都被虚拟化了，你是找不到原始代码的，如果没有虚拟化，你就看看它oep执行的第一个API是啥，在那断下返回就到跟前了。

Only1Studio

Hmily 发表于 2020-4-3 19:55
如果oep都被虚拟化了，你是找不到原始代码的，如果没有虚拟化，你就看看它oep执行的第一个API是啥，在那断 ...

大佬，我还没编辑完，点错了，我现在完善一下。您讲的我看不太懂。

Hmily

Only1Studio 发表于 2020-4-3 20:16
大佬，我还没编辑完，点错了，我现在完善一下。您讲的我看不太懂。

首先你要搞清楚你找OEP的目的，然后自己加壳运行后到OEP那个地址去看看对比下。

Only1Studio

Hmily 发表于 2020-4-3 20:17
首先你要搞清楚你找OEP的目的，然后自己加壳运行后到OEP那个地址去看看对比下。

我研究脱壳，是自己加的壳研究的，找OEP的目的就是脱壳呀。

Only1Studio

Hmily 发表于 2020-4-3 20:25
最简单的说，等代码解压后，对代码段下断，中断后就到OEP了，插件也是这么做的。

好的，谢谢大佬我去研究研究

罗萨

VirtualProtect不应当断在跑飞前,而是应当在第一次出现vmp0区段时