如何在64位win11下使用x64dbg过vmp

Ken0712

我正在试图使用调试器运行一个64位应用程序，使用exeinfo分析出来是使用了VMP 3.5.1的壳

因为这个程序只有64位版本（我手头也没有32位虚拟机），OD直接闪退。
使用x64dbg打开后显然被检测到了，尝试安装了HyperHide插件，但是不知道有没有成功：服务airhv没有正常启动。

继续使用x64dbg直接运行（profile选择了VMP的），仍然可以被检测。
于是找到了这个视频：https://www.bilibili.com/video/BV1G84y1i762
视频中给NtQueryInfomationProcess和NtSetInfomationTheard分别设置了rdx == 0x07 || rdx == 0x1E和rdx == 0x11的条件断点。
我设置完断点后运行，发现只触发了NtSetInfomationTheard 15次，而且条件都不满足。
我试图去掉断点的条件（怀疑是我自己的问题），虽然可以在NtSetInfomationTheard处停止（NtQueryInfomationProcess还是一次都没有），但是条件仍然不满足。在经过断点5次（！不知道为什么原来的15次就变少了，而且之后一直都是5次了）后程序直接弹窗退出。
看到一些文章说64位的壳比32位的难脱，是这样吗？（但是这玩意只有64位版本）

冥界3大法王

@Ken0712
VMware虚拟机里又换了一个版本 Win10
(zh-cn_windows_10_business_editions_version_22h2_updated_july_2023_x64_dvd_62f461c9.iso (5.63 GB))
打开 52破解VMP hellowold.exe 成功调试
【
https://www.52pojie.cn/thread-1793931-1-1.html
原贴写错了。
"C:\Users\CC\Desktop\x64dbg\x32\plugins\Scripts\create.bat" 运行之后
那个on.bat再运行会报错；此时再运行x32dbg.exe，再设置插件】

随风起舞

Ken0712 发表于 2023-8-20 15:13
就是在选项里面选上VMP就可以了？我这里这样还是会被检测到啊

不确定你什么原因，反正能正常打开这个插件你驱动肯定是加载成功了，打开插件，使用默认的选项就行了，然后开启你插件，把要pj的软件拖进去，我测试了vmp3.8.1的壳，确实能调试下段没问题的。

冥界3大法王

我在虚拟机Win11里测试
开启服务
复制驱动之后
那个x32dbg.exe根本就打不开了。

冥界3大法王

bcdedit /set testsigning off
删除*.sys文件
删除插件
x32dbg.exe还是运行不起来了

无奈的又复制了一个其他版本的就可以打开了。
是不是不支持win11？有测试成功的没有？

冥界3大法王

@JustMoveForward
@随风起舞
@Link_Stark
好像与那两个*.sys的签名有关
故此sc 运行才会报错。

Ken0712

冥界3大法王 发表于 2023-8-20 09:26
@Ken0712
VMware虚拟机里又换了一个版本 Win10
(ed2k://|file|zh-cn_windows_10_business_editions_versi ...

我打开没问题，插件窗口什么的都可以正常打开，但是不知道有没有用，不知道是插件没有成功启动还是绕不过去

随风起舞

Ken0712 发表于 2023-8-20 11:40
我打开没问题，插件窗口什么的都可以正常打开，但是不知道有没有用，不知道是插件没有成功启动还是绕不过 ...

我试过了，确实能过vmp3.8.1的，只要你开启插件功能就行了

Ken0712

随风起舞 发表于 2023-8-20 14:20
我试过了，确实能过vmp3.8.1的，只要你开启插件功能就行了

就是在选项里面选上VMP就可以了？我这里这样还是会被检测到啊

冥界3大法王

随风起舞 发表于 2023-8-20 14:20
我试过了，确实能过vmp3.8.1的，只要你开启插件功能就行了

能调试算不算成功？

hipojie

我感觉可能需要先脱壳，要不你试试相对应的脱壳程序。