Annn4 发表于 2018-4-26 18:34

一款E盾,试了好多次无果.

查壳有一个区段被vm

载入od 搜索登录特征码55 8B EC 81 EC 1C 00 00 00

改为
mov eax,1
retn 10


ctrl b搜索55 8B EC 81 EC 20 00 00 00 C7 45 FC 00 00 00 00


改ret


搜索蓝屏特征码 55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00


段首改retn


ctrl f 搜索 sub esp,84


更改内容
mov eax,0
mov ebp,esp
pop ebp
ret



不知为何这样





查毒链接:http://r.virscan.org/language/zh-cn/report/50a98330cac957fe8b123dd3f0cd357e

软件下载链接:链接: https://share.weiyun.com/58nXXOt (密码:sA0W)

望各位大神出个视频教程

sxdx1372 发表于 2018-4-26 20:23

重要地方被VM了,用特征码搜不到的看我录的一个视频https://www.52hb.com/thread-37525-1-1.html

LSJ520 发表于 2018-4-26 20:45

sxdx1372 发表于 2018-4-26 20:23
重要地方被VM了,用特征码搜不到的看我录的一个视频https://www.52hb.com/thread-37525-1-1.html

ff25只有标记一处标记二没有

sxdx1372 发表于 2018-4-26 22:35

LSJ520 发表于 2018-4-26 20:45
ff25只有标记一处标记二没有

那就是被VM了,这2个是挨着的,一般VM的是第二个,就在第一个下面,很容易发现VM的痕迹

茉莉僧 发表于 2018-4-26 22:52

sxdx1372 发表于 2018-4-26 22:35
那就是被VM了,这2个是挨着的,一般VM的是第二个,就在第一个下面,很容易发现VM的痕迹

这个标记要怎么去找啊,我载入OD搜索FF25没有看到什么标记。。

ccd 发表于 2018-4-27 02:45

sxdx1372 发表于 2018-4-26 20:23
重要地方被VM了,用特征码搜不到的看我录的一个视频https://www.52hb.com/thread-37525-1-1.html

我看了你的教程,里面过OD调试那个,真没懂,网站也没搜索到。 不过我用自己的方法,不成熟。在看你视频之前就破了反调试,但是修改内容太多。原程序忘记怎么过OD了,所以无法用你的方式去调试OD。能讲下LocalAlloc这个修改到0040000 地址之后 数第3个改0,运行起来吗?我运气就终止了

M.y 发表于 2018-4-27 11:22

谁告诉你的84是这个位置? 谁告诉你的84这样处理?谁告诉你的E盾特征码就百分百好用?

sxdx1372 发表于 2018-4-27 13:14

找到找到一排全是FF25的jmp 跳后,把一个个跳转点进去看。

sxdx1372 发表于 2018-4-27 14:45

ccd 发表于 2018-4-27 02:45
我看了你的教程,里面过OD调试那个,真没懂,网站也没搜索到。 不过我用自己的方法,不成熟。在看你视频 ...

一种快速过VMP3.x调试器虚拟机检测的方法
https://www.52hb.com/thread-37332-1-1.html

栖息丶 发表于 2018-4-27 17:29

兄弟,你特征码找错位置了。。。 还是多看看教程吧
页: [1] 2
查看完整版本: 一款E盾,试了好多次无果.