【软件逆向】第22课,软件逆向安全工程师之实战VPM壳逆向,每天5分钟学习逆向吧!

最新推荐文章于 2024-11-08 19:45:00 发布
最新推荐文章于 2024-11-08 19:45:00 发布
阅读量352 收藏
点赞数 2
分类专栏: 软件逆向学习 文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_15895655/article/details/141470611
版权

原27.VMP加米壳打补丁实战逆向分析

快捷键:F2下断点,F8下一步,回溯Ctrl+F9,回车跳目标位置,减号回到跳转位置
1.查壳打开Exeinfo
2.启动程序
3.x32dbg附件程序
4.下断点,回溯

逆向分析前,点击登录提示错误。我们需要的结果是:点击登录提示登录成功。

在这里插入图片描述

标题1.查壳打开Exeinfo,脱壳信息显示vmp壳

在这里插入图片描述

标题2.启动程序

在这里插入图片描述

标题3.x32dbg附件程序

在这里插入图片描述

标题4.下断点,回溯

在这里插入图片描述

操作步骤:
1.messageBoxa 下断点
2.点击确定按钮执行程序
3.取消断点
4.ctrl+F9执行完断点函数,到ret
5.下一步F8,查看是否有逻辑数据
0A892DEB | 90 | nop |

6.nop没有,继续ctrl+F9回溯 查看数据
0A892E83 | C2 1000 | ret 10 |

7.还没有看到有效逻辑,继续下一步F8,看到了数据操作
0A89B8D9 | E8 F270FFFF | call A8929D0 | 校验位置
0A89B8DE | 8B4D 18 | mov ecx,dword ptr ss:[ebp+18] |
8.call指令是函数处理,回车进入查看是否有需要的处理逻辑,减号键可以返回,用nop掉条件判断
9.使用补丁工具修改
在这里插入图片描述

js逆向案例-rus5逻辑学习
十一姐的博客
02-14 5906
目录 一、RS5特点 二、Cookie正式逻辑分析 三、cookie生成后的操作 四、后缀的生成
Imageware NX V12.1最好的逆向工程软件之一,Surfacer的最新版本
software2017的博客
12-06 4400
UGS.MOLDPLUS.SA.CATIA.READ.WRITE.FOR.MASTERCAM.V8.1 EDS.FACTOR.V8 for autocad UGS.IMAGEWARE.NX.V12.1逆向工程软件 UG 38种中文字库 UGS.Parasolid Translator R1.1 Ug.Postbuilder.v3.0.1(NC后置处理开发软
方法 vmp 和各种经验
nn_84的博客
08-25 1586
vmp 我要说明一件事情 加了随机地址的vmp 是无法的 因为 入口地址会出问题 你 那么入口地址一定是固定的 这样就不可能正常 但没有随机的过程编程的程序 oep就是401000 连对象编程的程序 也是 401000 之所以 后不正常 是因为 把资源和导入导出表 加密 但过程编程 只需跑完 virtualalloc 函数后 直接 转跳到 401000 就可以了。
VMP3.6的反调试和反虚拟机
被遗弃的庸才博客
06-27 5733
看雪上有人泄露了3.6.0.1406,第一时间先下载下来,然后加之后扔进x32dbg,A debugger has been found....... 还能怎么办?右键回收站。正准备放弃的时候,想了想要不在看看,好吧那就在看看,结果一段瞎分析之后定位到了scylla没有处理完善的函数NtQueryInformationThread和QueryInformationProcess 你问我怎么定位的,全是某牛姓男子给我说的,还有需要注意的时这些api下执行是不会断下的,因为它自己shadow了一份syst
解锁VMP难题:VPM工具最全脚本推荐
gitblog_09796的博客
10-31 970
解锁VMP难题:VPM工具最全脚本推荐 【下载地址】VPM工具最全脚本 本仓库提供了一个名为“工具 VPM最全脚本”的资源文件,旨在帮助那些在面对VMP时遇到困难的朋友们。该脚本集成了多种技巧和方法,能够有效应对各种复杂的场景 ...
利用工具半自动修复VMP3.5的变异IAT
热门推荐
vbnetcx的博客
03-11 3万+
第四步:以管理员打开Imports Fixer, 进程列表中选择正在调试的进程, 点击IT&IAT, 代码区段中选择.text, OEP填写之前记下的OEP地址, 点击获取导入表, 把无效指针都去掉, 点击修正转储, 选择之前dump出来的文件, 最后dump出来的文件就已经修复完变异IAT啦, 可以把.vmp0和.vmp1区段头和数据全部删除啦。第二步:以管理员打开cmd, 执行"vmp3-import-fix-x86 -p 之前记下的进程ID"命令, 执行完命令后随便用个工具dump出来;
用x32/x64dbgDLL(IAT表修复和重定位表修复)
qq_41866334的博客
05-06 6431
一直搜到的都是看雪论坛上用的lordPE和ImportREC进行和修复,感觉有点过时了. 记录一下x32/x64dbg和IAT修复方法. 首先用esp定律等方法找到程序的入口点, 然后使用Scylla插件并填写其中的OEP地址. 然后用IAT Autosearch去找可能的IAT表,dump并fix pe文件即可. ...
AndroidROM(FkptRomV2.0)
Andy0214的专栏
08-21 1万+
全自动傻瓜式,不用再担心加固阻碍你逆向分析代码了。
新手学习Vmp之控制流程图生成
06-17
新手学习Vmp之控制流程图生成
qq音乐sign逆向
bboysteed的博客
05-29 1056
qq音乐sign参数逆向 1.概览
x64dbg反检测插件2017-1-21版
02-06
x64dbg反检测插件2017年1月21日版本
VPM工具:最全面的脚本指南
资源摘要信息:"工具 VPM最全脚本" ...综上所述,VPM最全脚本为逆向工程师提供了一套强大的工具来应对VMP保护机制,它能够帮助他们在遵守相关法律和道德标准的前提下,进行软件安全逆向工程的研究。
VPM全版本脚本工具及使用方法解析
使用VMProtect保护的软件,其可执行代码会被加密并且在运行时进行虚拟化处理,这增加了逆向工程师分析软件的难度。 脚本,也被称为“器”或“Unpacker”,是一种逆向工程工具,它可以在软件保护或加密过程...
VPM工具最全脚本
gitblog_09757的博客
10-21 335
VPM工具最全脚本 【下载地址】VPM工具最全脚本 本仓库提供了一个名为“工具 VPM最全脚本”的资源文件,旨在帮助那些在面对VMP时遇到困难的朋友们。该脚本集成了多种技巧和方法,能够有效应对各种复杂的场景 ...
易语言软件VMProtect的正确方法
ljw5888的博客
09-15 8895
https://www.cnblogs.com/fox2013/p/4553977.html VMP是一款很强大的加密,代码虚拟化技术可以很好的保护程序不被恶意修改破J但是很多人不知道怎么给自己的程序加,今天给大家晋级下加的正确方法 相信很多新手都以为只要把软件直接拖到VMP里重新编译一下就是加了其实这样是没有达到任何的防破J效果。易语言加VPM少不了这两行重要代码 置入...
软件逆向】带带反调试找flag教程(VMProtect3.0+X64dbg+ScyllaHide)
zhangjiuding的博客
10-24 4904
软件逆向】带带反调试找flag教程(VMProtect 3.0+X64dbg+ScyllaHide)
程序假死了怎么办? ->卡住了,无法动弹不知道怎么办了的解决办法
敖丙007的博客
10-03 346
程序假死了怎么办? ->卡住了,无法动弹不知道怎么办了的解决办法
44.第二阶段x86游戏实战2-C++HOOK提取游戏lua
最新发布
计算机王的博客
11-08 1376
游戏逆向 游戏安全 游戏攻防 c++ 反游戏外挂 保姆级攻略 Windows 汇编
ebCTF 逆向记录
weixin_33918114的博客
11-03 124
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值