vmp2.07脱壳到达OEP

bansjs · 发表于 2023-2-8 23:11

今天下载了一款软件，没想到查壳是vmp2.07，好奇尝试一下脱壳
下载地址：http://www.kkx.net/soft/4350.html

1、右键选择FKVMP>>start

2、点击OD上方的L按钮，找到retn，然后记录rentn的地址

3、2、然后返回，CTRL+G快捷键对VirtualProtect函数下断点

4、按F9运行观察堆栈区，直到NewProtect=PAGE_READONLY为止（也就是F9 6次）

5、之后取消断点按ALT+M，来到这里，对代码段下内存访问断点，F9运行

到了这里

6、然后ctrl+G搜索刚刚记录下来的retn值，F2断点，F9跑一次，来到上图位置，点击右上角的M，取消内存访问断点

8、来到刚刚断点的地方，取消01284728的断点，继续点击右上角的M，对代码段下内存访问断点

7、然后F9运行，到达OEP处，用Scylla_v0.9.8脱壳转存

直接脱出来的程序打开提示错误，脱壳后的修复不会，有兴趣的大佬可否指点一二

13865522235 · 发表于 2023-2-9 07:21

我搞了一下vmp3.5 也是一样脱壳后修复提示oep没数据
小曾视频那个好麻烦还有修复什么什么的
不会

13865522235 · 发表于 2023-2-9 07:20

我搞了一下vmp3.5 也是一样脱壳后修复提示oep没数据
小曾视频那个好麻烦还有修复什么什么的
不会

侃遍天下无二人 · 发表于 2023-2-8 23:32

虽然不太清楚是怎么回事，但你这不是把vmp壳当成upx壳来脱了吗

bansjs · 发表于 2023-2-8 23:35

侃遍天下无二人发表于 2023-2-8 23:32
虽然不太清楚是怎么回事，但你这不是把vmp壳当成upx壳来脱了吗

只是到了OEP，接下来不知道如何修复

liyitong · 发表于 2023-2-9 00:00

侃遍天下无二人发表于 2023-2-8 23:32
虽然不太清楚是怎么回事，但你这不是把vmp壳当成upx壳来脱了吗

当年我也是看完第一课就随便拿了一个程序，谁知道是vmp壳，搞到半路就莫名其妙的和教程不一致了

bansjs · 发表于 2023-2-9 00:22

liyitong 发表于 2023-2-9 00:00
当年我也是看完第一课就随便拿了一个程序，谁知道是vmp壳，搞到半路就莫名其妙的和教程不一致了{:301_998 ...

不急，慢慢再研究，我想的是到OEP后，用LordPE 来Dump,Dump完以后用LordPE 打开它修改入口点、IAT等吧，慢慢来完善他，也希望有大佬给予指点，这样少走许多弯路

董督秀 · 发表于 2023-2-9 00:28

如果是10.x的正式版，是有特征码通杀的，这个脱壳就别想了。

思想者 · 发表于 2023-2-9 10:30

提一个点, vmp是全球最强壳之一, 即便你拿2.x研究透了, 也搞不了现在3.6的.

wangxufang520 · 发表于 2023-3-26 07:43

VMP壳加强学习中，感谢分享

帐号		自动登录	找回密码
密码			注册[Register]

[求助] vmp2.07脱壳到达OEP