求助se虚拟机检测问题

bypasshwid

参考贴子地址：
https://www.52pojie.cn/thread-598022-1-1.html

问题1：

对x86_se.exe(32位)来说。

1
修改
004C39E8   /75 05           jnz short x86_se.004C39EF
改为:
004C39E8   /EB 05           jmp short x86_se.004C39EF

2
修改
004C3888    55              push ebp
004C3889    8BEC            mov ebp,esp
004C388B    83EC 14         sub esp,0x14
改为:
004C3888    B8 00000000     mov eax,0x0
004C388D    C3              retn

xp上修改上面两处地址就能跳过se的虚拟机检测

为什么在win7 64位上这两个地址却断不下来呢？很神奇。
是什么导致它断不下来呢？

///////////////////////////////////////////////////////////////

问题2

我随便编译了个x64的MFC程序，添加se虚拟机检测，如果是X64的，这两处在哪里呢？
使用x86上的方法找不到，也许是姿势不对吧，请问如何找？

测试程序：
https://www.123pan.com/s/YL29-UiTRh

hszt

在 004C6C03 中断，继续往下，在retn的时候eax的FC改成0就可以了

https://www.52pojie.cn/thread-1937326-1-1.html

bypasshwid

hszt 发表于 2024-9-21 11:01
在 004C6C03 中断，继续往下，在retn的时候eax的FC改成0就可以了

https://www.52pojie.cn/thread-193732 ...

大佬，测试程序里有个64位的，针对64位有什么通用的特征码吗？

无闻无问

估计找不到，因为x86和x64指令有些区别，可以试试在程序中找个地方，把x86的指令改成x64的，主要是寄存器，比如eax改为rax，立即数给他??，改了看看机器码，再搜……

没试，不一定行，只提供尝试思路，见谅……

hszt

朱朱你堕落了 发表于 2024-9-21 11:14
大佬，测试程序里有个64位的，针对64位有什么通用的特征码吗？

64的没研究过

bypasshwid

hszt 发表于 2024-9-21 11:01
在 004C6C03 中断，继续往下，在retn的时候eax的FC改成0就可以了

https://www.52pojie.cn/thread-193732 ...

至今没找到X64的方法，算了，结贴给大佬了。