实战 -- OD调试过VMProtect虚拟机检测教程
这款辅助是昨天下午3点更新的一款CF辅助,然后我刚刚才下载的想破解一下,破解并不是为了开辅助玩游戏,而是不断的学习破解知识,但是发现有虚拟机检测,没办法破解,查阅了大量的资料,历经重重困难,终于搞定了它的检测,好了教程开始。太专业的术语我也不知道怎么说,大家凑合着看吧,此方法不仅仅适用于这一个辅助,往后大家破解辅助遇到这个情况都可以用这个方法,自己灵活运用吧。
载入OD,运行,从图中可以看出,这个的意思都明白,这是检测到虚拟机了,点击确定程序就会退出。
http://attach.52pojie.cn/forum/201509/12/102839qdfdffn26wlasbwr.png
重新载入,程序暂停在这个位置
http://attach.52pojie.cn/forum/201509/12/103402qc54vccv4vcikmwv.png
我们用FKVMP这个插件,点击Start
http://attach.52pojie.cn/forum/201509/12/103606n6hcsznymijlyj66.png
然后点击L,来到日志数据窗口
http://attach.52pojie.cn/forum/201509/12/103902m22q120e1bu52fbe.png
我们往上找,看到一些红字的代码,找到retn这个值,如下图:
http://attach.52pojie.cn/forum/201509/12/104039f8tdjpj7r4i2umu7.png
选中retn这个值,右键复制到剪贴板,再点击地址,也就是复制这个值的地址。
http://attach.52pojie.cn/forum/201509/12/104237ovw273y77h5wsz9i.png
返回反汇编窗口,Ctrl+G 粘贴地址,确定。
http://attach.52pojie.cn/forum/201509/12/104429ixmavj3jw6yafwam.png
来到地址处
http://attach.52pojie.cn/forum/201509/12/104523k53vrddl7dazrlxd.png
然后我们往下找,借用第一个Call,下断,运行,程序断在这里。
http://attach.52pojie.cn/forum/201509/12/104845gl4zh68bza28hd28.png
F7进入上图的Call,程序来到这里,我们继续借用下面这个Call,下断,运行,程序断在这里。
http://attach.52pojie.cn/forum/201509/12/105248xwwnd4z2ywxk1kai.png
F7继续进入上图的Call,程序来到这里,继续借用下面这个Call,下断,运行
http://attach.52pojie.cn/forum/201509/12/120359aowzttjoeofpwvlf.png
F7继续进入上图的Call,此时来到了VM retn这个值的断尾
http://attach.52pojie.cn/forum/201509/12/110346bxdbmh3d3mz0mmjb.png
我们在断尾处下段,F9继续运行,程序断在这,F7进入
http://attach.52pojie.cn/forum/201509/12/110534gsyn932c299sy133.png
来到了这里,但还没有到VM检测的地方
http://attach.52pojie.cn/forum/201509/12/110725r36n3apixeyoua9p.png
我们继续F9再运行一次,来到我们第一次下段的Call
http://attach.52pojie.cn/forum/201509/12/111708y4nx43pe37e6gxee.png
继续F9运行三次,来到这个断尾处
http://attach.52pojie.cn/forum/201509/12/111854m94nar4rvewj94nr.png
F7进入来到这里,这里也不是VM检测的地方.
http://attach.52pojie.cn/forum/201509/12/141039y72xo65o6nhx77i6.png
继续F9运行一次,又返回到了我们第一次下断点的地方
http://attach.52pojie.cn/forum/201509/12/141133pbaupidbammziaiz.png
F9运行三次,再次来到断尾处
http://attach.52pojie.cn/forum/201509/12/141245noiodlsoz6hsuiez.png
F7进入上图的断尾,这次不一样了,有一个指令
http://attach.52pojie.cn/forum/201509/12/141415yjgfb2bfr7pwr4gj.png
F7一次,步过上图的指令,点击b,删除所有的断点
http://attach.52pojie.cn/forum/201509/12/112615rddplf2ug6luf622.png
返回反汇编窗口,看右边寄存器窗口
http://attach.52pojie.cn/forum/201509/12/143634ll8ulf811cxf51l5.png
EDX置0,EBX置0
http://attach.52pojie.cn/forum/201509/12/143726xjewo0lame2900pa.png
然后我们F9运行程序,此时可以看到,辅助已成功运行,没有再显示图1的那个检测到虚拟机的提示了。
http://attach.52pojie.cn/forum/201509/12/113134logwdcso7h211awh.png
这里我们只说怎样过掉VM检测,不说后面破解的事了。
好了,结束。专业术语我也不知道怎么说,害怕说错,不知道大家能不能看懂,这些Call都把我搞的迷迷糊糊了,累死了,各位大大给点分哇。。。。。。
方法挺不错,谢谢楼主分享,希望更多教程出来哦楼主 在别的地方看过了,还是谢谢分享。 顶一个谢谢分享 。。。。。。。。。楼主,只想说辛苦了,图文板块全看完了,就你的图文教程写的堪比手把手,赞~:victory: 方法很全面,但是太复杂,步骤太多我看晕了 好复杂,如果是自己调试得过个多少遍。。。。 进call有啥标准不,进去是因为步过跑飞,还是固定程序第一个call就一定要进去呢
页:
[1]