VMProtect使用小计【二】 – 加壳查看
来源:互联网 发布:淘宝怎么写标题 编辑:程序博客网 时间:2024/06/08 02:29
Release
我这里使用的是Release的版本,Debug的版本分析没有多少的必要,因为程序发布过之后就是Release的,我们先看一下这个文件
原程序分析
使用OD打开VMProtectDemo1.exe
原版程序
因为在我们的程序使用到了MessageBox
,所以这里我们就下bp MessageBoxW
断点。为什么是MessageBoxW
这是因为我刚开始是用的VS2008生成的默认工程,默认工程是Unicode
的程序,所以这里就断MessageBoxW
运行程序
使用F9
运行程序,让程序跑起来,这时会断到我们的MessageBoxW
的断点上,我们按Alt+F9
返回到用户代码。
013D1000 >/$ 68 B8213D01 PUSH OFFSET VMProtec.??_C@_0BH@NEBMIKLA@>; ASCII "VMProtec Tag By Sollyu"013D1005 |. FF15 B0203D01 CALL DWORD PTR DS:[<&VMProtectSDK32.VMPr>; VMProt_1.VMProtectBeginVirtualizationLockByKey013D100B |. 6A 40 PUSH 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL013D100D |. 68 D0213D01 PUSH OFFSET VMProtec.??_C@_1BE@GCDIBBA@?>; |Title = "By:Sollyu"013D1012 |. 68 E4213D01 PUSH OFFSET VMProtec.??_C@_1CA@BBLPMEIO@>; |Text = "VMProtect Test."013D1017 |. 6A 00 PUSH 0 ; |hOwner = NULL013D1019 |. FF15 A4203D01 CALL DWORD PTR DS:[<&USER32.MessageBoxW>>; \MessageBoxW013D101F |. FF15 AC203D01 CALL DWORD PTR DS:[<&VMProtectSDK32.VMPr>; VMProt_1.VMProtectEnd
可以很清除的看到我们的MessageBoxW
。
保护程序分析
使用OD分析
和原程序分析
一样,下bp MessageBoxW
断点,F9运行调试
当执行到MessageBoxW
的时候,我们可以发现完全不是我们想要的代码了,而且出现了错误调试。
我们可以在VMProtect
找到这段文本的说明,首先要开启专家模式
可以看到这是在说文件损坏
,禁止调试的一种
IDA分析
使用OD动态调试不行,我们在使用IDA看一下效果。这里是两个程序的对比图
原程序
保护程序
可以看到,已经改的面目全非
了。
0 0
- VMProtect使用小计【二】 – 加壳查看
- VMProtect使用小计【一】
- vc6.0使用vmprotect加壳
- 使用VMProtect给软件加壳
- VMProtect进行加壳
- VMProtect Ultimate 加壳脱壳工
- VMProtect的使用
- 热门加壳工具VMProtect v3.1发布,新增内存保护,性能改进|附下载
- vmprotect
- vmprotect
- MProtect使用小计【三】 – 权限管理
- 随笔小计二
- VMProtect使用教程免费下载功能介绍
- VMProtect怎么用_VMProtect使用教程
- TortoiseGit GitHub 使用小计
- vollery的使用小计
- TokuMX使用小计
- sqoop 使用小计
- cocos2dx 打包安卓,签名
- js 四舍五入,保留两位小数
- Eclipse内存优化 -Xms128m -Xmx512m 1
- 浏览器缩放造成的网页错位问题
- 联想笔记本一键安装win7系统
- VMProtect使用小计【二】 – 加壳查看
- 互联网协议入门(一)
- hdu 1496 && poj 1840 (简单哈希)
- 关于listview 的setOnItemClickListener失效问题
- 关于HbernateTemplate的简单用法
- DVFS简介
- ubuntu安装zend studio10.6.0
- 西安喜宝月子中心
- 开发者必须了解的10大跨平台移动开发工具