非DLL进行API Hook后如何绕VMP v3版本的调试器检测？

董督秀

我想通过纯EXE进行API Hook从而破解示例abcdefg.exe，因此编写了PatchEx64.exe。

PatchEx64.exe的作用是启动示例程序后设置远程Hook NtCreateFile，并等待目标地址解码后写内存。原理类似调试器远程附加进程并设置硬件断点

问题：
PatchEx64.exe运行后能够解决 无壳 的示例与 vmp 2 全保护 的示例，
但是无法解决 vmp 3.8 全保护 的示例，提示发现调试器，原因就是PatchEx64.exe远程附加进程并设置硬件断点的行为类似调试器，因此被检测到了。
我改成使用int 3 断点也不行。

该如何解决这个问题？即在这种情况下如何绕过VMP v3版本的调试器检测提示？

注意：此处要求，完全基于纯EXE进行Hook破解，不要涉及调用DLL进行破解。调用DLL进行破解是肯定可行的。。。

示例与PatchEx64.exe：
https://wwsc.lanzouo.com/ixjZM2fcu5sd

beatone

时机不对，早了，换API，如有不对，还请谅解

董督秀

beatone 发表于 2024-11-17 20:53
时机不对，早了，换API，如有不对，还请谅解

我试了，换成Hook CreateWindowExW或者Hook NtContinue都不行。如果是使用DLL进行Hook是肯定可以的。但我要求使用纯EXE进行hook。

beatone

https://www.52pojie.cn/thread-688291-1-1.html           这个可以参考

爱飞的猫

Hook API 触发不了，怀疑 VMP 对初始化的那几个函数做了特殊处理。

对 DLL 函数（LoadResource）下的钩子一直没被触发，VMP 可能自己实现了一套 DLL 加载手动从磁盘加载了一份：

此外如果改动的时间过早，会触发内存校验错误：

---

最后我改成远程启动一个线程，每隔 5s 检测修改一次（反正这玩意初始化贼慢…）。

缺陷：

• 无法对抗需要尽早修改的情况
• 根据 CPU 速度，写死的 5s/5次不一定好用，可能换个机子补丁就失败了。

相关代码和补丁（百度网盘）

董督秀

爱飞的猫 发表于 2024-11-18 03:00
[md]Hook API 触发不了，怀疑 VMP 对初始化的那几个函数做了特殊处理。

对 DLL 函数（LoadResource）下 ...

感谢答疑。但能否实现“不依赖于每隔一段时间检测修改一次”的效果。即通过纯exe实现类似dll的api Hook判断解码，并即时修改。

爱飞的猫

董督秀 发表于 2024-11-18 03:10
感谢答疑。但能否实现“不依赖于每隔一段时间检测修改一次”的效果。即通过纯exe实现类似dll的api Hook判 ...

它都不调用我 Hook 的函数（无壳情况下正常触发）。建议测试 VMP 3 + DLL 补丁的情况是否正常。

如果测试通过的话，你可以找 DLL 注入代码（DLL 文件不落地，网上有很多相关源码），将 DLL 注入进去。这个是最省事的。
或者就和我之前回复里的源码一样，手写纯汇编的 ShellCode 然后注入进去执行。缺点就是 Hook 函数 + 自定义的判断逻辑会写起来很麻烦。

董督秀

爱飞的猫 发表于 2024-11-18 03:14
它都不调用我 Hook 的函数（无壳情况下正常触发）。建议测试 VMP 3 + DLL 补丁的情况是否正常。

如果 ...

感谢提供思路。