VMP学习笔记之壳基础(一)

解析加密壳技术:HelloASM.exe的解密与VMP1.21壳定位
最新推荐文章于 2025-10-13 14:31:04 发布
原创 最新推荐文章于 2025-10-13 14:31:04 发布 · 4.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#系统安全

参考资料

资料下载: VMP1.21

说明:

1、加壳机的壳是秒杀壳,自行百度

2、HelloASM.exe是测试demo

3、保护全关

正文:

1、读取PE基本信息

 定义的结构如下:

2、获取到壳要的各种API(这里没怎么看)

3、将用户要VM的Opcode进行解析(这个后面有详细说明)

4、如何定位到加密按钮

1、使用DarkDe4.exe

 2、分析的设置是保护全关,所以ProtectOptions = 8

 3、分析关键函数sub_4A3414(最核心的函数)

5、sub_4A3414函数分析

1、偏移到新区段的起始地址

 2、判断RVA合法性

 2、1 设置起始struct_VmpAllDataPY_60结构,构造好push jmp跳转地址

 OD视图:

 最终效果视图:

 3、内存对齐后的总大小

 3、1 将内存对齐后的总大小保存到struct_VmpAllDataPY_60结构里当作壳的OEP也就是Vmp入口

根据大小将地址往后移0x40或则0xC0个字节(这个就是VMCONTEXT的大小)

 OD视图:

 最终结果:

我们发现它是从0x40504B开始,并非0x405040地址开始,这个后续讲解

 4、根据保护等级选择使用哪个壳模板,并设置区段保护属性

 5、壳模板一共有6个

 6、我们使用的是474974,到这里这篇章节就完成了

VMP学习笔记之Handle块优化与模板初始化(四)
u014738665的博客
10-12 1358
参考资料: 本文大量内容抄袭看雪作者:waiWH的VMP系列 1、名称:谈谈vmp的还原(2) 网址:[原创]谈谈vmp的还原(1)-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com 2、名称:汇编指令之OpCode快速入门 网址:[原创]汇编指令之OpCode快速入门-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com 3、名称:X86指令编码内幕 --- 指令 Opcode 码 网址:X86指令编码内幕 --- 指令 Opcode 码_晓风残月的技术天地-
VMP加密工具
10-04
VMP加密工具
VMP工具
02-19
VMP,加加密软件,保护你的软件不被破解 加加密软件,保护你的软件不被破解
VMP
01-28
VMP.exe
VMP&小白入门级脱教程&VMP教程&VMP3.8.4脱插件&脱插件&易语言脱&VMP教程
最新发布
jockerboss的博客
10-13 1071
本文介绍了使用VMP插件对VMP 3.8.4加文件进行逆向分析的过程。首先通过OD在GetVersion位置下断点,使用插件找到程序原始入口点(OEP)并进行修复,然后通过CFF工具新增区段存储IAT表。接着详细讲解了IAT修复步骤,包括关键call的修改和Scylla工具的使用,最终完成脱和修复工作。文章重点说明了操作中的注意事项,如正确选择call修改位置、避免误操作等,为逆向分析VMP程序提供了实用方法。
VMP虚拟机加的原理学习
weixin_34267123的博客
09-28 1331
好久没有到博客写文章了,9月份开学有点忙,参加了个上海的个CHINA SIG信息比赛,前几天又无锡南京来回跑了几趟,签了阿里巴巴的安全工程师,准备11月以后过去实习,这之前就好好待在学校学习了。 这段时间断断续续把《加密与解码 第三版》给看完了,虽然对逆向还是知半解,不过对VMP虚拟机加这块有了点新的认识。这里分享些笔记和想法,没有新的东西,都是书上还KSSD里看来的,权当笔记和分享...
VMP工具v3.3.1
04-09
VMProtect 是款高级版的程序加工具,可以有效地保护你的应用程序不被反编译,说明白点就是个加工具,加后的应用程序体积变得更小,而且更加安全。
vmp 实战经验
nn_84的博客
08-23 512
vmp 虽然是虚拟 但这个个缺点 也就是去除了随机地址 所有程序入口地址都是 401000 程序就是这样排列的。对于vmp 对象编程加密的 你脱后无法正确运行 是因为资源被加密。
VMP学习笔记之反汇编引擎学习(三)1
08-03
VMP(Virtual Machine Protect,虚拟机保护)的学习笔记中,这个过程主要涉及到两个关键结构体:struct_VmFunctionAddr(特殊Opcode)和struct_DisassemblyFunction(基础Opcode)。 【Vmp_AllDisassembly函数】...
安卓逆向学习笔记之ADVMP源码分析与VMP简单上手().docx
04-13
### 安卓逆向学习笔记之ADVMP源码分析与VMP简单上手() #### 、概述 本文档将深入探讨安卓逆向工程中的个具体案例——ADVMP源码分析与VMP的基本操作。ADVMP(Virtual Machine Protection)种常见的...
安卓逆向学习笔记之ADVMP源码分析与VMP简单上手().docx
04-13
### 安卓逆向学习笔记之ADVMP源码分析与VMP简单上手() #### 、概述 本文档旨在分享安卓逆向工程领域内关于ADVMP(Advanced Virtual Machine Protection)源码分析的经验及VMP的初步使用技巧。ADVMP种...
VMP学习笔记:ESI伪代码生成与加密解析
"VMP学习笔记主要讲解了ESI伪代码的生成与加密,涉及软件加技术中的关键步骤。在这部分,主要关注构造ESI指令的基本方法和ESI伪代码的加密策略,以保持解密的致性。" 本文档详细介绍了VMP(VProtect)技术...
vmp1.70软件)
05-01
软件 , 希望大家喜欢。软件对于些人有用(练习脱的朋友不妨试试)。
VMP工具V2.09注册版
06-18
破解已注册版本
VMP学习笔记之Handle块优化与模板初始化(四)1
08-03
1、名称:谈谈vmp的还原(2) 2、名称:汇编指令之OpCode快速入门 3、名称:X86指令编码内幕 --- 指令 Opcode 码 1、流程 == 加密函
汇编语言sub指令用法_VMP学习笔记基础流程、X86指令Opcode快速入门
weixin_39538451的博客
12-09 1393
本文为看雪论坛优秀文章看雪论坛作者ID:黑手鱼【加方式】UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi)【编写语言】Borland Delphi 4.0 - 5.0【操作平台】Win7 32位【作者声明】以看雪作者waiWH的VMP还原系列为参考原型逆向分析基础流程说明:加机的是秒杀,自行百度HelloASM.exe是测试demo保护全关>...
VMP 虚拟机(原理)
热门推荐
hhd1988的专栏
04-29 1万+
获取途径 http://www.drmsoft.cn/reseller/vmp.asp 技术剖析 虚拟机保护技术就是将基于x86汇编系统的可执行代码转换为字节码指令系统的代码,以达到保护原有指令不被轻易逆向和修改的目的,这种指令也可以叫伪指令,和VB的pcode有点类似。从本质上讲,虚拟指令系统就是对原本的x86汇编指令系统进行次封装,将原本的汇编指令转换为另种表现形式。 push uType push lpCaption push lpText push hWnd, call Message
【Android 逆向】加技术识别 ( VMP示例 | Dex2C 加示例 )
zhangmiaoping23的专栏
09-22 2457
技术识别的必要性 : 拿到 APK 文件后 , 如果想要分析其 DEX 文件 , 需要先 识别出该 APK 是使用的什么技术进行的加 , 如果该 APK 只是使用了整体保护 , 只需要将内存中的 DEX 文件 DUMP 下来即可;每个加的应用必然使用 DEX 整体加固 , 然后在该基础上 , 使用 函数抽取 , VMP , Dex2C 中的种加技术 , 也有可能使用 3 33 者中的多种加技术 , 进行混合加;函数抽取特征 : 获取到加后的 DEX 文件 , 其函数体是无效的;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值