利用工具半自动修复VMP3.5壳的变异IAT

dircou 发表于 2024-2-28 10:32
哈哈，膜拜中
在弄一个天盾的小程序，同一系列有两个软件，一个加了VMP一个没加！ ...

也是vmp3.5左右的版本吗

学编程的闹钟 发表于 2024-2-28 10:53
也是vmp3.5左右的版本吗

Exeinfo 显示：VMProtect v3.00 - 3.5.0 [ option : packed ] -   2003-2021  VMProtect Software - www.vmpsoft.com
Die: 保护器: VMProtect(3.2.0-3.5.0)

dircou 发表于 2024-2-28 11:25
Exeinfo 显示：VMProtect v3.00 - 3.5.0 [ option : packed ] -   2003-2021  VMProtect Software - www. ...

那和我脱的是一个版本的

本贴已添加了图片,有机会录个视频发出来

没成功过

520pojie 发表于 2024-2-28 19:49
没成功过

发个视频看看

我还想问下各位大佬,第四步用的Imports Fixer软件改为用Scylla为什么就不行了,打开程序会提示0xc0000005错误

还是失败了，X64导入到这暂停了！

[Asm] 纯文本查看 复制代码

00A21EB7 | C7                   | ???                                 |
00A21EB8 | FF68 01              | JMP FAR FWORD PTR DS:[EAX+1]        | fword ptr ds:[eax+01]:BaseThreadInitThunk+1
00A21EBB | 0300                 | ADD EAX,DWORD PTR DS:[EAX]          | eax:BaseThreadInitThunk, dword ptr ds:[eax]:BaseThreadInitThunk
00A21EBD | 806A 00 50           | SUB BYTE PTR DS:[EDX],50            | byte ptr ds:[edx]:EntryPoint
00A21EC1 | 68 01000000          | PUSH 1                              |
00A21EC6 | BB 5C0A0000          | MOV EBX,A5C                         |
00A21ECB | E8 B91D0800          | CALL xx_dump_if - 副本.AA3C89         |
00A21ED0 | 83C4 10              | ADD ESP,10                          |
00A21ED3 | 68 01030080          | PUSH 80000301                       |
00A21ED8 | 6A 00                | PUSH 0                              |
00A21EDA | 50                   | PUSH EAX                            | eax:BaseThreadInitThunk
00A21EDB | 68 01000000          | PUSH 1                              |
00A21EE0 | BB D4090000          | MOV EBX,9D4                         |

dircou 发表于 2024-3-1 15:58
还是失败了，X64导入到这暂停了！
[mw_shl_code=asm,true]00A21EB7 | C7                   | ???          ...

你这个vmp是不是有内存保护呢

学编程的闹钟 发表于 2024-3-1 17:39
你这个vmp是不是有内存保护呢

这就不清楚了，我也刚学