VMP2.07 2.09脱壳恢复出原始EXE文件

craftstarsu

用OD找到用VMP2.09加过壳的exe程序的OEP后，dump出的exe文件比原始文件大得多，且无法在IDA中进行调试。请教各位大神，怎么才能恢复出能在IDA中调试的exe

Hmily

这个说起来也比较简单，比如你可以先了解一下vmp的加密有哪些方式，然后对应把这些方式进行修复就可以了，但实现不那么简单，比如加密了iat、资源或者还有antidump之类的，这些都要修复的，更比如有些关键代码被虚拟化了，一样可以调试，但可能你还是不知道那代码是啥，这又要涉及代码还原。

脱壳破解区置顶帖有大佬整理的资料，你可以由浅入深进行学习：

软件虚拟机保护分析资料整理
https://www.52pojie.cn/thread-712684-1-1.html

craftstarsu

看OD运行到OEP位置后，Alt+M的text段，基本就是原来exe的代码。只是还有一些加载的DLL地址是临时的，还有就是原EXE中的data段没有

mycc

知易行难，但现在VMP资料比早年 我们蒙着头去分析强100倍不止

craftstarsu

有没有可能通过dump vmp2.09壳加固程序的内存来还原出原有的exe，现在我除了vmp0和vmp1段没倒出之外都导出来分析，还有啥其它分析方法吗

flysnow20000

有没有VMP脱壳的基础视频啊，想学习学习