请各位老师出个教程逆向此软件实在是太难了，易语言VMP3.0.9的壳

下载：https://wwap.lanzoum.com/iAKVe195drfg密码：hbyb
逆向前的工作，查壳，查到了是VMP的壳子，正常来说VMP区段会显示VMP0,VMP1，此作者改了一下VMP的默认名字想混淆视听，知道是VMP的壳子以后，无非是脱壳或打补丁两种方式，先看看能不能脱


第1步，把插件都打开

第2步，设置首次启动时的断点方式

第3步，打开需要逆向的软件.exe

第4步，全速运行发现被反调试

第5步，重新载入exe，过反调试

第6步，按Ctrl+G，跟随表达式窗口输入LocalAlloc

第7步，在跟随处下断点

第8步，按F9运行至该断点（没有运行到的可以多运行几次直至运行到该断点）

第9步，对堆栈处鼠标右键，点击查找地址

第10步，输入基地址00400000后，点击确定

第11步，此时看到堆栈地址显示上下重叠的地址，往下找一行值为0000000B，有些可能是0000000F

第12步，对0000000B这一行堆栈右键进行修改，修改为0

第13步，ALT+B，将断点禁止

第14步，继续全速运行发现可以正常运行不被检测到反调试了，但是弹出一个专门检测是否以管理员权限运行的信息窗口

第15步，跳转到00401000地址，大家知道这个地址一般是软件OEP地址，所以跳转过去发现出现灰色注释，表明可以分析，我们右键选择从模块中删除分析

第16步，进行中文搜索

第17步，接着Ctrl+F进行搜索，输入“请右键管理员身份运行助手哦!”，结果没搜到，说明关键代码被VMP掉了，这个也是人才居然想到这种方法反调试
第18步，思考了一下有哪些方案可以跳过这个检测管理员身份权限，方案1、在MessageBoxA消息窗口处下断点看看能不能往上找跳转，方案2、（在网上看到说GetTokenInformation是检测是否管理员身份运行的一个函数接口）GetTokenInformation处下断点看看能否跳过判断。



最后也没找出来怎么过这个管理员权限检测，没法进行后续的逆向，恳请大佬出手出个完整逆向该软件的教学，脱壳也好是打补丁也好。

来个表哥教一教

可可  自己论坛多找找教程看看吧

JuStkK 发表于 2023-9-20 15:30
可可  自己论坛多找找教程看看吧

没用，这个都是教程以外的东西，这个软件你逆向一下就知道了，防反调试做的很好，根本就没机会打补丁更别说OEP和IAT还原

这个反调试按道理能直接过的，想过这个弹窗，根据易语言体往下跟弹窗的函数，然后进VMP里面，改下JCC就行，看这个入口应该是VMP 3.6，这种没必要脱壳的，脱不了壳，他函数虚拟化了，你直接修复iat，dump，自己能运行，但是跨平台过不去，别人就跑不起来，如果真要写的话，把反调试过掉，找验证的JCC判断，打内存补丁，hook就行，没必要非要脱壳，VMP脱壳不是想得这么容易

jjyjjy003159 发表于 2023-9-20 18:42
这个反调试按道理能直接过的，想过这个弹窗，根据易语言体往下跟弹窗的函数，然后进VMP里面，改下JCC就行， ...

易语言体（FF25）已经被VM得看不出来了，大佬能否再具体一点？现在我这个情况就是想打补丁，但是这个检测管理员权限的弹窗去掉也会销毁，不去掉也会销毁，我现在需要先找到从哪里开始判断是否以管理员权限运行，然后再跳过这段判断代码来实现过这个弹窗。

我把断点打在MessgeBoxA上可以定位到这个信息窗口的函数入口，如果此时按照正常的操作方法是点击确定后，执行到return，往上找跳转，但是从哪里调用的已经被VM掉了，回溯不出来，因为点完确定以后程序就已经跑飞了，销毁结束了，

JuStkK 发表于 2023-9-20 17:56

大佬牛B，出个教程

学习一下