当前位置:www.6844.com > www.mgdc.com > 正文

下面我会贴一个足本共同OD+StrondOD+DrxProtect利用的


  EverEdit编纂器是加的一个vmp的壳子,虽然特征和这里阐发的不太分歧,可是反调试子大致一样的,并且虽然是vmp可是通过trace和阐发也是能够破解的,能够拿来练手,这里保举一下。

  然后F9再次到CALL eax的时候若是是GetpRrocessAffinityMask函数挪用,申明反调试曾经成功通过。

  1.我没有阐发它是若何加密的,只是简单的阐发了挪用函数的解密过程,其实十分简单:进入解密函数后单步f7,当看到雷同:

  PS:对CALL eax下的是硬件断点,留意不要下软件断点,由于前面ZwSetInformationThread后(User-mode反调试)或者第三次最初一次NtQuerySystemInformation后(Kernel-mode)反调试会有如下图所示的软件断点检测,其实vmp的内存庇护一部门的道理和这个分歧,代码特征几乎都一样,取出来的HEX字节也是存放正在esi寄放器中。所认为了便利,最好下硬件断点,由于硬件断点查抄触发的机会都是正在SEH函数中,很好拦截。

  1.内存庇护和阐发的软件断点几乎一样,对你点窜的内存下硬件拜候断点,就能够看到正在取HEX字节然后运算,不再贴图了,只需把取出来的esi的数值替代为本来的数值就行了

  2.利用GetSystemFirewareTable获取系统固件消息,判断此中有无下列字符串:VMware、VirtualBox、Parallels。留意大小写,只需要等GetSystemFirewareTable施行完成后对内存搜刮VMware字符串(由于我用的VMware虚拟机),然后填充为0就能够过虚拟机检测了。下面我会贴一个脚本共同OD+StrondOD+DrxProtect利用的,次要就是填充VMware字符串。

  (register:寄放器,imm:当即数)的语句,正在施行完成后register中就是函数,再几步通过ret一类的就去施行线.不知有无脱漏。。。

  因为才接触Vmp,所以是把各个庇护拆分隔来进行的阐发,会比力简单一些,不外全庇护其实也就是凑正在一路而已,只需留意挨次就行啦。爱博体育官网

  本帖只是阐发根本庇护反调试反虚拟机等,不涉及还原VM和阐发VM代码的部门。属于新手贴一类,适合萌新旁不雅,大佬轻喷,有讹夺之处,敬请,感谢。