实战 -- OD调试过VMProtect虚拟机检测教程（二）

飘零雪 · 发表于 2015-9-13 21:32

本帖最后由 1095166075 于 2015-9-15 16:13 编辑

我在 http://www.52pojie.cn/thread-411742-1-1.html 这个帖子中说过一次，那这次我们就不这么啰嗦了。

载入OD，提示对不起，这个程序不能运行在虚拟机内，大概就是这个意思。

重新载入，参考上个帖子的方法，利用FKVMP插件，点击Start，再点击L，来到数据日志窗口，找到retn这个值，复制他的地址。

返回反汇编窗口，Ctrl+G 粘贴地址，来到地址处

上次的帖子中我们借用的是他的第一个Call，那这次没有Call了，怎么办？我们往下找，直接就看到了retn这个值的断尾，那这样其实更简单了，直接在断尾处下段

F9运行，程序断在断尾处，F7进入上图的断尾，来到这里。

F9继续运行，程序返回到我们下段的断尾处

F7再次进入上图的断尾，来到这里。

F9再运行一次，程序又返回到我们下段的断尾处

F7继续进入上图的断尾，程序来到了虚拟机检测的地方，认准 in eax，dx 这段代码

点击B，删除断点

返回反汇编窗口，上次帖子中说的是F7步过一次后，EDX EBX置0，经过测试，其实不步过，直接把EDX置0也是可以的

F9运行，程序成功运行

好了，结束，也是只说怎样过VM检测，不说后面破解的事。

夜来自独醉 · 发表于 2015-11-24 00:51

上次的帖子中我们借用的是他的第一个Call，那这次没有Call了，怎么办？我们往下找，直接就看到了retn这个值的断尾，那这样其实更简单了，直接在断尾处下段 ----我们往下找，如何往下找，已F9直接都运行了

榻榻米 · 发表于 2015-9-13 21:36

貌似很给力支持一下

q943959519 · 发表于 2015-9-13 21:45

嗯。~~很高端的样子哦

52pojie2015 · 发表于 2015-9-13 22:19

感谢大牛啊

firescript · 发表于 2015-9-13 22:20

什么原理啊也不说说 {:1_917:}

wskj · 发表于 2015-9-13 22:39

谢谢分享。。。。

segasonyn64 · 发表于 2015-9-13 22:42

不明觉厉。。。感谢分享，后面有机会试试

tiandi19920127 · 发表于 2015-9-13 23:06

好牛逼的样子学习了

cwz · 发表于 2015-9-14 07:55

支持大牛

zxa2000 · 发表于 2015-9-14 08:00

看不太懂，学习中……

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 实战 -- OD调试过VMProtect虚拟机检测教程（二）

免费评分

本帖被以下淘专辑推荐: