记录VMP3.X对OD检测和E盾过非法工具检测步骤

syc_song

哈喽  大家好，本人小白一枚，来到52的大家庭有一个月左右了，在这一个月的时间里多多少少看了一些关于破解的教程，就试着自己也来搞一个试试，结果可想而知，一路碰壁，在此分享一下我遇到问题和解决方法，希望对后来的朋友有所帮助，第一次发帖大神（大佬）勿喷
----------------------------------------------------------------------------------------------------------------华丽的分割线------------------------------------------------------------------------------------------------------------------

0x1、查壳


说多了都是泪啊，第一个竟然就是传说中的疑难杂症壳（大神都是建议直接回收站），本着学习的目的继续往下走（确实浪费时间）

0x2、拖入OD运行直接遇到第一个问题 “OD检查”


通过各种查找有说附加运行的，有说使用插件的，各种测试没有解决；

#通过（@qqqmyj）的帖子中方法解决了此问题 :
①重新载入程序（不要点运行），下LocalAlloc函数断点，直接Ctrl+G，输入”LocalAlloc“，点击"OK"后F2下断点


下好断点后可以按b进行检查确认断点是否成功，



②然后F9运行，让程序自动跑起来停到断点处；我们在右侧寄存器看到，ESP的值。右键，选中数据窗口中跟随






如果跟随后区域显示的样式与上图不一样可按照下图方式调整（在该区域右键-->长型-->地址）如下图


然后在该区域右键-->查找-->地址，输入00400000如下图



输入完确定以后，可以按Ctrl+L找到如下图中三连续的，地址有可能是和我的一样也有可能不一样，我看了@qqqmyj例子中地址和我的是一样的，不知道是否所有的VMP壳都一样（大神看到可在下面回复补充）


将如上图所示的0000000F改变数值，让它置为0，确定以后，此时数值就会显示为：00000000，即可解决第一个问题

0x3、将前面问题解决，断点取消，继续运行遇到第二个问题 “发现非法工具”



又是一顿胡乱查找才知道是E盾在搞鬼；话不说了直接盘他：重新载入程序将第一问题解决以后不要继续运行，将LocalAlloc函数断点禁用或取消，再Ctrl+G，输入”GetMenu“下GetMenu函数断点，然后F9运行，让程序自动跑起来停到断点处



在上图右下角红色框（堆栈处）选中“call到GetMenu”来自xxxxxx,按回车，找到下面的第一大跳转，将跳转改为jmp






在上图修改处进行汇编修改，连续2次（至于为何，我也不清楚，有懂的请在下方解释一下）


将第二次汇编进行撤销





将所有断点删除或禁止F9运行即可进入软件，到此如题问题已全部解决；后面就是破解了，由于技术有限，等后面继续再更

Hmily

稍微新点的vmp3 版本这个过检测的方法就已经失效了。

syc_song

疯情都市 发表于 2019-12-30 15:15
感谢分享,我是看到了这个,我才破了有种VMP的,谢谢了,只不过下面的GetMenu,这个是怎么知道的,为什么要找这个 ...

只是总结和查找了一些相关方法，具体一些原理也是不明白，学习中

syc_song

Hmily 发表于 2019-5-6 14:25
稍微新点的vmp3 版本这个过检测的方法就已经失效了。

大神指的3.2及以上吗

syc_song

wudiyidashi 发表于 2019-5-6 16:24
·························
真难啊
怎么有种无解的感觉

可想而知我是怎么样的曲折解决的

Hmily

syc_song 发表于 2019-5-6 16:37
大神指的3.2及以上吗

恩，看这里吧

Bypass Vmp3.2.0 Anti Debugger+ Anti Vmware By.Sound
https://www.52pojie.cn/thread-804661-1-1.html
(出处: 吾爱破解论坛)

思想者

优秀教程贴

血色天空

图文并茂，谢谢楼主分享

syc_song

血色天空 发表于 2019-5-6 19:59
图文并茂，谢谢楼主分享

一起学习

拉风丶

感谢分享！！！！

寒山远

一起学习