实战 -- OD调试过VMProtect虚拟机检测教程

飘零雪

这款辅助是昨天下午3点更新的一款CF辅助，然后我刚刚才下载的想破解一下，破解并不是为了开辅助玩游戏，而是不断的学习破解知识，但是发现有虚拟机检测，没办法破解，查阅了大量的资料，历经重重困难，终于搞定了它的检测，好了教程开始。

太专业的术语我也不知道怎么说，大家凑合着看吧，此方法不仅仅适用于这一个辅助，往后大家破解辅助遇到这个情况都可以用这个方法，自己灵活运用吧。

载入OD，运行，从图中可以看出，这个的意思都明白，这是检测到虚拟机了，点击确定程序就会退出。



重新载入，程序暂停在这个位置


我们用FKVMP这个插件，点击Start


然后点击L，来到日志数据窗口


我们往上找，看到一些红字的代码，找到retn这个值，如下图：



选中retn这个值，右键复制到剪贴板，再点击地址，也就是复制这个值的地址。



返回反汇编窗口，Ctrl+G    粘贴地址，确定。


来到地址处


然后我们往下找，借用第一个Call，下断，运行，程序断在这里。


F7进入上图的Call，程序来到这里，我们继续借用下面这个Call，下断，运行，程序断在这里。


F7继续进入上图的Call，程序来到这里，继续借用下面这个Call，下断，运行


F7继续进入上图的Call，此时来到了VM retn这个值的断尾



我们在断尾处下段，F9继续运行，程序断在这，F7进入



来到了这里，但还没有到VM检测的地方


我们继续F9再运行一次，来到我们第一次下段的Call



继续F9运行三次，来到这个断尾处


F7进入来到这里，这里也不是VM检测的地方.


继续F9运行一次，又返回到了我们第一次下断点的地方


F9运行三次，再次来到断尾处


F7进入上图的断尾，这次不一样了，有一个指令


F7一次，步过上图的指令，点击b，删除所有的断点


返回反汇编窗口，看右边寄存器窗口


EDX置0，EBX置0



然后我们F9运行程序，此时可以看到，辅助已成功运行，没有再显示图1的那个检测到虚拟机的提示了。



这里我们只说怎样过掉VM检测，不说后面破解的事了。

好了，结束。专业术语我也不知道怎么说，害怕说错，不知道大家能不能看懂，这些Call都把我搞的迷迷糊糊了，累死了，各位大大给点分哇。。。。。。

asdiopss

更简单的过VMP检测虚拟机的办法
编辑虚拟机.vmx文件
在底部添加如下内容
isolation.tools.getPtrLocation.disable = "TRUE"  
isolation.tools.setPtrLocation.disable = "TRUE"  
isolation.tools.setVersion.disable = "TRUE"
保存
开启虚拟机
即可过掉VMP的检测
但是这招对3.X版本无效

ddx123

什么原理呢 清零是什么作用

Hmily

名字改成《实战 -- OD调试过VMProtect虚拟机检测教程》比较合适，重点说明in指令作用。

世俗红尘

表示不会破解 帮忙顶帖了  破解好了 能给我不

灬兄弟灬

求发破解版本！谢谢

世俗红尘

私信发我  软件 .......

麻衣叶王

收藏，了解一下，以后有用

yAYa

有点意思。

E_eYYF

感谢演示插件的使用

一时颓废

感谢分享   顶楼主

吃西瓜的正太

楼主发这么多，你不累吗  

luozh7682

过VMP，分析很好，值得学习一下。