Zprotect Vm代码的2种处理方法

jomin

Zprotect Vm代码的2种处理方法
Zp的VM比较简单,只模拟PUSH和JCC这2种类型指令,其他的全部都是明文保留,用乱序JMP连接.由于没有ANTI DUMP,所以可以补区段,把ZP的SHELL DLL所在区段以及后面的几个段一起补到DUMP+FIX IAT之后之后的程序中即可,包括VISO引擎处理过的代码也可以这样处理,一般脱壳这样也就可以了,如果被处理的代码中有我们感兴趣的地方,于是不得不寻求修复代码的方法.
  
  由于我对VM一无所知,所以我将其当做代码变形来处理.
  
  用DELPHI7编译个空窗体,用ZP1.49 VM掉第三个CALL
  原代码如下:
http://unpack.cn/viewthread.php?tid=40193&extra=page%3D1

liudefang111

学习一下，这个太难了