实战 -- OD调试过VMProtect虚拟机检测教程(二)
载入OD,提示对不起,这个程序不能运行在虚拟机内,大概就是这个意思。http://attach.52pojie.cn/forum/201509/13/210303wrguwp6s88dsvutp.png
重新载入,参考上个帖子的方法,利用FKVMP插件,点击Start,再点击L,来到数据日志窗口,找到retn这个值,复制他的地址。
http://attach.52pojie.cn/forum/201509/13/210608s606ilj80ofvy60o.png
返回反汇编窗口,Ctrl+G 粘贴地址,来到地址处
http://attach.52pojie.cn/forum/201509/13/210758yacphanlladcmhpc.png
上次的帖子中我们借用的是他的第一个Call,那这次没有Call了,怎么办?我们往下找,直接就看到了retn这个值的断尾,那这样其实更简单了,直接在断尾处下段
http://attach.52pojie.cn/forum/201509/13/211228yj4jphzrp229pq42.png
F9运行,程序断在断尾处,F7进入上图的断尾,来到这里。
http://attach.52pojie.cn/forum/201509/13/211321sj5spkukkla5bxb5.png
F9继续运行,程序返回到我们下段的断尾处
http://attach.52pojie.cn/forum/201509/13/211527y47whf79ws7ho7gw.png
F7再次进入上图的断尾,来到这里。
http://attach.52pojie.cn/forum/201509/13/211637wu9u6j9iy939a1du.png
F9再运行一次,程序又返回到我们下段的断尾处
http://attach.52pojie.cn/forum/201509/13/211800jvgxohvvqgnqxhnk.png
F7继续进入上图的断尾,程序来到了虚拟机检测的地方,认准 in eax,dx 这段代码
http://attach.52pojie.cn/forum/201509/13/211854p2hx22mhw2w93d29.png
点击B,删除断点
http://attach.52pojie.cn/forum/201509/13/212040ed979kw989akm9qj.png
返回反汇编窗口,上次帖子中说的是F7步过一次后,EDXEBX置0,经过测试,其实不步过,直接把EDX置0也是可以的
http://attach.52pojie.cn/forum/201509/13/212227yi7rii4i4rotttt2.png
F9运行,程序成功运行
http://attach.52pojie.cn/forum/201509/13/212506sjsh5paslygd0apv.png
好了,结束,也是只说怎样过VM检测,不说后面破解的事。
学习了,找个软件测试下:lol
页:
[1]