可可验证求分析

看见有人发这个东西，于是想尝试练手一下，看样子是可可验证
所以我按照恒大的教程来实践
先查壳，VMProtect v.2.07 - X.X
载入OD F9运行 ctrl+G 00401000
搜索字符串eno
00407FC7    837D EC 01      cmp dword ptr ss:[ebp-0x14],0x1

0040807D    837D F0 01      cmp dword ptr ss:[ebp-0x10],0x1

bp ExitProcess
0044D250    C3              retn

因为是vmp壳，所修改数据没有办法直接保存，所以我直接打补丁
运气起来看看，点登陆进去了……然后点启动FZ的时候却弹出错误提示

于是我用OD附加进程，下信息框弹出断点
再f9运行程序就崩溃了……
不知道这个怎么搞。附上软件http://xiao123.qiniudn.com/abc.rar
（PS：电脑我已经cdef全盘格式化了，系统也重装了，附件应该不会有病毒，请放心）

  不行的话我记得还有push方法 论坛搜的到  可以去试试

是不是跟你第三张图有关系 看着好像retn关键调用一样

520Kelly 发表于 2015-1-3 17:09
是不是跟你第三张图有关系 看着好像retn关键调用一样

额，我这是照恒大的教程，下退出点段，然后反汇编窗口跟随，段首retn让它不退出，并没有retn关键调用呀

蓝天利剑 发表于 2015-1-3 16:58
不行的话我记得还有push方法 论坛搜的到  可以去试试

push后直接崩溃了

程序领空搜索 FF25 去掉退出 怎么看retn 好像retn错了 你截图又不大点

风清扬 发表于 2015-1-3 20:13
程序领空搜索 FF25 去掉退出 怎么看retn 好像retn错了 你截图又不大点

请放心调试，附件没有问题

下标越界了,558BEC8B4508508B4D088B148DB8929B0052 特征码 下断,断下后返回
找jl或者jle之类的跳转  如果vm了的话  那你就不能用这个方法去找暗装了 换个可可爆破方法

Crook 发表于 2015-1-4 22:41
下标越界了,558BEC8B4508508B4D088B148DB8929B0052 特征码 下断,断下后返回
找jl或者jle之类的跳转  如果v ...

中间代码vm了特征码找不到位置，换个可可爆破方法怎么换

wdrvk 发表于 2015-1-4 23:33
中间代码vm了特征码找不到位置，换个可可爆破方法怎么换

正版补码 或者是55 8B EC 81 EC 94 00 00 00段首retn

然后在干掉退出