2011.11.10_33vc_VMP 2.06 antidump的处理

http://www.33vc.com/index.php/archives/3769

欢迎观看点点的乐园 www.33vc.com 视频教程。

VIP教程更加精彩。本站官方QQ群为：56612062。

今天用VMP 2.06加壳。

V了一段。antidump..

不加密IAT，今天这个不是重点。呵呵。其他保护都选上。

VMP每次加壳都不一样，现场加也许我还得分析，增加了不少难度，但更加有说服
力。呵呵

先到 OEP

dump后运行，看着好像可以了。但点击test按钮就挂掉了。这段被V.

今天的antidump是通过hook VM_add32这条handler

0040B12C    0145 04         add dword ptr ss:[ebp+0x4],eax           ;
VM_Add32

再找VM_SetEip

0040BCEA    8B75 00         mov esi,dword ptr ss:[ebp]               ;
VM_SetEip

这就是VM_SetEip

用脚本跑一下，相应的eax,esi会被记录下来。

eax:0  esi:40EEC1

 eax为0，就改为4，

原来的代码：

0040B12C >  0145 04         add dword ptr ss:[ebp+0x4],eax           ;
VM_Add32
0040B12F    9C              pushfd
0040B130    E8 33010000     call dump.0040B268

 eax为4，就改为0

改完后，可以看到弹出的消息框了。。。
但这样还是不行。每次要在OD中改。

因此我们还要Patch一下。

OOK.已经解决antidump.刚才patch代码写错了，要在OD中找出错误哦。

现在是不能跨平台的。。。这不是本视频的主要内容。

http://pan.baidu.com/netdisk/singlepublic?fid=140670_3670645114