mckwap 发表于 2020-2-15 22:08

求助VMP3.3.1 过调试检测

本帖最后由 mckwap 于 2020-2-15 22:28 编辑

查壳 发现是VMProtect v3.00 - 3.3.1   目前网上只有3.1X左右的过调试检测的教程,3.1的时候是直接下LocalAlloc这个断点然后 查找基址后找到0000000F处改1可以过

也有VMP3.2.x的过检测的教程。相对复杂 但是和本软件过检测貌似又有很大的不一样,
论坛的【OneVEight】大神给出 0540CEF6    68 DCCC0110   push    0x1001CCDC                     ; 反调试 这个是反调试点
但是找遍网络的下段 解码方式 均未能找到有效的处理办法
我也尝试了win7虚拟机实体机调试 以及Xp虚拟机 win10实体机调试 均未能找到此反调试点
自己琢磨了好久了 未能解决 希望论坛大神能够给个思路!感激不尽!
https://www.lanzouw.com/i9dyz7i

一万八_ 发表于 2020-2-15 22:08

本帖最后由 OneVEight 于 2020-2-16 01:44 编辑

你是过不去VMP壳子的检测od?64位系统的话直接用sharpod过,或者直接用xjun的od,然后过了壳子的反调试以后我给你的那个地址是他软件里的反调试

白影poji 发表于 2020-2-15 23:12

3.几的版本反调试差不多,跟这个帖子搞,过不了应该是你手法有问题,https://bbs.pediy.com/thread-226455.htm

mckwap 发表于 2020-2-16 10:19

OneVEight 发表于 2020-2-16 01:42
你是过不去VMP壳子的检测od?64位系统的话直接用sharpod过,或者直接用xjun的od,然后过了壳子的反调试以后 ...

他的反调试不是壳子的啊!~~大佬 我这边怎么都找不到那个反调试地址的哟!我已经把本机由win10换成win7了还是不行 只有软件运行之后附加可以找到这个内存地址!所以一直在寻求这个方法!

mckwap 发表于 2020-2-16 16:10

确认不是壳子的检测是软件自带的反调试 找不到位置而已!

a601623124 发表于 2020-2-21 18:37

白影poji 发表于 2020-2-15 23:12
3.几的版本反调试差不多,跟这个帖子搞,过不了应该是你手法有问题,https://bbs.pediy.com/thread-226455. ...

这帖子有点牛啊,他上面写的是不是只是3.几的VM版本啊?

a601623124 发表于 2020-2-21 18:39

兄弟 ,我看2楼那个地址说的很详细啊

mckwap 发表于 2020-2-21 19:27

a601623124 发表于 2020-2-21 18:39
兄弟 ,我看2楼那个地址说的很详细啊

但是你找到那个检测点了吗 我根本找不到那个内存地址啊~这是关键 知道他说的很详细

yideisiwa 发表于 2020-2-27 02:17

最后解决了吗?我有个脚本也是3.3.1的,用sharkOD一调试就被检测到了。求解最后怎么解决的。@mckwap

mckwap 发表于 2020-2-27 09:23

yideisiwa 发表于 2020-2-27 02:17
最后解决了吗?我有个脚本也是3.3.1的,用sharkOD一调试就被检测到了。求解最后怎么解决的。@mckwap

我的是软件的检测 不是壳子的 壳子直接用插件就 能过掉 可以找找论坛那个一万三OD 应该能过掉的
页: [1] 2
查看完整版本: 求助VMP3.3.1 过调试检测