首页
论坛
专栏
课程
1

[原创] 人肉跟踪VMProtect入口至出口运行全过程(2)迷你代码还原

爱吃菠菜 2018-10-9 18:01 1624
最近好多分析vmp的贴,跟风把以前的分析心得发出来(内容在excel附件中),
这一篇将整个完整的VmCode过程,通过表格显现出来,
先占个坑,详细内容 稍后编辑。

1 源代码:
void test()
{
	int sum=0;
	for(int i=0;i<100;i++)
	{
		sum=sum+i;
	}
	printf("%d",sum);
}


int main(int argc, char *argv[])
{
	test();
	return 0;
}

2 汇编码&&基本块:




3 VMCODE <————> X86ASM对照表格







快讯:看雪智能设备漏洞挖掘公开课招生中!

最后于 2018-10-9 22:28 被爱吃菠菜编辑 ,原因:
上传的附件:
最新回复 (13)
kanxue 2018-10-9 18:30
2
……全过程(1) 这篇文章在哪?之前你没在看雪论坛发过
爱吃菠菜 2018-10-9 21:08
3
kanxue ……全过程(1) 这篇文章在哪?之前你没在看雪论坛发过
好像是在另一个板块中发的。。
Carezy 2018-10-9 22:37
4
mark
davidangle 2018-10-10 10:37
5
我去,牛啊,这得用多长时间全部还原
爱吃菠菜 2018-10-10 10:52
6
davidangle 我去,牛啊,这得用多长时间全部还原
 有没有小姑娘被扒光了一丝不挂,尽收眼底的感觉?
xiaohang 2018-10-10 11:48
7
还是看雪老大快了一步,没办法,昨天加班到12点,你这个是自动化生成的excel吗?
xiaohang 2018-10-10 11:51
8
如果真的是人肉还原的,恭喜你,人家1分钟保护的代码你得还原1年
说明vmp的保护是有效的
最后于 2018-10-10 11:51 被xiaohang编辑 ,原因:
爱吃菠菜 2018-10-10 12:12
9
xiaohang 如果真的是人肉还原的,恭喜你,人家1分钟保护的代码你得还原1年说明vmp的保护是有效的
是人肉的,当初跟完这个玩意,开发一个山寨的vmp或者全自动还原,心里差不多有数了。
因为我想山寨一套vm,所以喜欢让vmp每个细节都一丝不挂~
爱吃菠菜 2018-10-10 21:10
10
xiaohang 还是看雪老大快了一步,没办法,昨天加班到12点[em_9],你这个是自动化生成的excel吗?
才注意 加班到12点半,这么辛苦 太拼了
最后于 2018-10-10 21:26 被爱吃菠菜编辑 ,原因:
三十二变 2018-10-11 17:22
11
好厉害。
不同意 4天前
12
慢慢学习,消化,感谢!
cjkillyes 3天前
13
请问楼主的vmcode与X86ASM对照表格是从拿找到的???
爱吃菠菜 2天前
14
cjkillyes 请问楼主的vmcode与X86ASM对照表格是从拿找到的???
最开始看堆栈,看输入输出,人肉推的。
后面见的多了,应该可以归纳一下,做模式匹配特征匹配之类的。
学习的话,可以参考那些牛X的分析插件。
返回