关于VMP程序的破解

longkong1989 · 发表于 2013-9-13 13:12

先用PEID查壳，看区段，发现是VMP，然后OD载入，看到的代码全部虚拟化，搜索字符串也无果，怎么办呢，点击OD的快捷键E查看模块如图http://www.52pojie.cn/data/attac ... 6z99ptj15yyspj5.jpg
选择第一个，点进去，右键分析-删除分析见到下图http://www.52pojie.cn/data/attac ... 1adg6vw660mgatd.jpg
然后再次搜索UNIKODE，可以看到http://www.52pojie.cn/home.php?m ... lbum&picid=5341
此时看到了字符串，这是点那个注册成功的字符串，向上找到关键跳转http://www.52pojie.cn/data/attac ... z7ii9kicpnacce8.jpg
这里的原来是JE，如果相等会跳向下面的注册错误，但是直接nop直接jnz都不行，找到这个je跳转的具体位置，会是一个mov的语句，然后我们在注册成功的语句向上也会看到一个同样的mov，把这里的je改成jnz跳向成功的那个mov的地址就可以了，然后http://www.52pojie.cn/data/attac ... lwj2iznv9ua5na1.jpg重启运行，下好断，一路F9，最后几下alt+F9慢一点，到了程序领空，这样再次搜索字符串，找到readreg，点进去向下，找关键条http://www.52pojie.cn/data/attac ... ni4n43o6uzeruzu.jpg，nop掉http://www.52pojie.cn/data/attac ... agw0tun90g7gtgw.jpg，即可，大家会觉得VMP的程序不好破，其实不用脱壳，虽然代码VM了，内存里会还原，最后用小生的内存补丁打上就可以了，不能上传附件，讲下破解方法

cyj · 发表于 2013-9-13 13:16

楼主你的图是挂了吗？

longkong1989 · 发表于 2013-9-13 13:17

cyj 发表于 2013-9-13 13:16
楼主你的图是挂了吗？

我把图片弄到论坛相册里就是这样，新手还不会弄，多多包涵

E_eYYF · 发表于 2013-9-13 13:49

只能膜拜！

马斯维尔 · 发表于 2013-9-13 13:53

希望楼主补下图啊。虽然每张图片都有链接，但是这样看着好难受锕

梦…… · 发表于 2013-9-13 13:54

只能膜拜！

qiusuo · 发表于 2013-9-13 14:25

木有源程序只能是看看

plasd · 发表于 2013-9-13 14:50

先来学习。

我是小害虫 · 发表于 2013-9-13 15:36

膜拜如果程序自带隐藏进程如何

Syer · 发表于 2013-9-13 15:52

膜拜。。。现在才知道原来直接删除分析可以看到字符串{:1_931:}

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 关于VMP程序的破解