一款E盾，试了好多次无果.

Annn4 · 发表于 2018-4-26 18:34

查壳有一个区段被vm

载入od 搜索登录特征码55 8B EC 81 EC 1C 00 00 00

改为

mov eax,1

retn 10

ctrl b 搜索55 8B EC 81 EC 20 00 00 00 C7 45 FC 00 00 00 00

改ret

搜索蓝屏特征码 55 8B EC 81 EC 2C 00 00 00 C7 45 FC 00 00 00 00 68 0C 00 00 00

段首改retn

ctrl f 搜索 sub esp，84

更改内容

mov eax，0

mov ebp，esp

pop ebp

ret

不知为何这样

查毒链接：http://r.virscan.org/language/zh-cn/report/50a98330cac957fe8b123dd3f0cd357e

软件下载链接：链接： https://share.weiyun.com/58nXXOt （密码：sA0W）

望各位大神出个视频教程

sxdx1372 · 发表于 2018-4-26 20:23

重要地方被VM了，用特征码搜不到的看我录的一个视频https://www.52hb.com/thread-37525-1-1.html

LSJ520 · 发表于 2018-4-26 20:45

sxdx1372 发表于 2018-4-26 20:23
重要地方被VM了，用特征码搜不到的看我录的一个视频https://www.52hb.com/thread-37525-1-1.html

ff25 只有标记一处标记二没有

sxdx1372 · 发表于 2018-4-26 22:35

LSJ520 发表于 2018-4-26 20:45
ff25 只有标记一处标记二没有

那就是被VM了，这2个是挨着的，一般VM的是第二个，就在第一个下面，很容易发现VM的痕迹

茉莉僧 · 发表于 2018-4-26 22:52

sxdx1372 发表于 2018-4-26 22:35
那就是被VM了，这2个是挨着的，一般VM的是第二个，就在第一个下面，很容易发现VM的痕迹

这个标记要怎么去找啊，我载入OD 搜索FF25没有看到什么标记。。

ccd · 发表于 2018-4-27 02:45

sxdx1372 发表于 2018-4-26 20:23
重要地方被VM了，用特征码搜不到的看我录的一个视频https://www.52hb.com/thread-37525-1-1.html

我看了你的教程，里面过OD调试那个，真没懂，网站也没搜索到。不过我用自己的方法，不成熟。在看你视频之前就破了反调试，但是修改内容太多。原程序忘记怎么过OD了，所以无法用你的方式去调试OD。能讲下LocalAlloc这个修改到0040000 地址之后数第3个改0，运行起来吗？我运气就终止了

M.y · 发表于 2018-4-27 11:22

谁告诉你的84是这个位置？谁告诉你的84这样处理？谁告诉你的E盾特征码就百分百好用？

sxdx1372 · 发表于 2018-4-27 13:14

找到找到一排全是FF25的jmp 跳后，把一个个跳转点进去看。

sxdx1372 · 发表于 2018-4-27 14:45

ccd 发表于 2018-4-27 02:45
我看了你的教程，里面过OD调试那个，真没懂，网站也没搜索到。不过我用自己的方法，不成熟。在看你视频 ...

一种快速过VMP3.x调试器虚拟机检测的方法
https://www.52hb.com/thread-37332-1-1.html

栖息丶 · 发表于 2018-4-27 17:29

兄弟，你特征码找错位置了。。。还是多看看教程吧

		自动登录	找回密码
密码			立即注册