当前位置：首页 > 编程日记 > 正文

脱壳 VMProtect 1.70.4

编程日记 2024-05-20 16:00:00

【文章标题】:  脱壳 VMProtect 1.70.4
【文章作者】: hxqlky
【作者邮箱】: zmunlky@gmail.com
【作者主页】: http://www.x5dj.com/hxqlky
【下载地址】: 自己搜索下载
【加壳方式】: VMProtect 1.70.4
【保护方式】: VMProtect 1.70.4
【编写语言】: MASM32 / TASM32
【使用工具】: od
【操作平台】: xp
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  脱壳 VMProtect 1.70.4
  0041A300 >  68 FE571FD7    push D71F57FE
  0041A305 E8 B5970000    call Sec_Add_.00423ABF
  0041A30A  ^ E2 B8          loopd short Sec_Add_.0041A2C4
  0041A30C 1E             push ds
  0041A30D D7             xlat byte ptr ds:[xbx+al]

  有debug  A debugger has been found running in your system.
Please, unload it from memory and
  restart your program.

  alt +m  下断401000 f9运行出现A debugger has been found running in your system.
Please, unload it
  from memory and restart your program.
  f12  点k
  77D505CA E8 2D000000    call user32.MessageBoxExA
  77D505CF 5D             pop ebp
  77D505D0 C2 1000       retn 10    f2  f9
  77D505D3 90             nop

  看寄存器
  EAX 00000001
  ECX 7C93005D ntdll.7C93005D
  EDX 00000000
  EBX 0012F798 ASCII "\Sec Add 1.8 vmp\Sec Add_1.8 version.exe"
  ESP 0012F784
  EBP 0012FF98
  ESI 7C801AD0 kernel32.VirtualProtect
  EDI 004155C3 ASCII "A debugger has been found running in your system.
Please, unload it from
  memory and restart your program."
  EIP 77D505D0 user32.77D505D0
  从新再来
  go 7C801AD0

  7C801AD0 >  8BFF          mov edi,edi
  7C801AD2 55             push ebp                f2  f9
  7C801AD3 8BEC          mov ebp,esp
  7C801AD5 FF75 14       push dword ptr ss:[ebp+14]
  7C801AD8 FF75 10       push dword ptr ss:[ebp+10]
  7C801ADB FF75 0C       push dword ptr ss:[ebp+C]
  7C801ADE FF75 08       push dword ptr ss:[ebp+8]
  7C801AE1 6A FF          push -1
  7C801AE3 E8 75FFFFFF    call kernel32.VirtualProtectEx
  7C801AE8 5D             pop ebp
  7C801AE9 C2 1000       retn 10
  看堆栈
  0012F784 004142FA  Sec_Add_.004142FA
  0012F788 00401000  Sec_Add_.00401000
  0012F78C 0000111E
  f9  7次运行
  从来f9  6次
  看堆栈
  0012EBE0 10202FA0  返回到 SogouPy.10202FA0
  0012EBE4 10000000  SogouPy.10000000
  0012EBE8 00001000
  看数据窗口
  00401000 6A 00          push 0
  00401002 E8 67DF0000    call Sec_Add_.0040EF6E
  00401007 A3 08404000    mov dword ptr ds:[404008],eax
  0040100C E8 D9730000    call Sec_Add_.004083EA
  00401011 6A 00          push 0
  00401013 68 30104000    push Sec_Add_.00401030
  00401018 6A 00          push 0
  0040101A 68 EC404000    push Sec_Add_.004040EC                ; ASCII "m00n"
  alt+m 40100内存访问断点 f9
  00401030 55             push ebp 断在这里向上
  00401031 8BEC          mov ebp,esp
  00401033 83C4 F0       add esp,-10
  00401036 53             push ebx
  00401037 57             push edi
  00401038 56             push esi
  00401039 817D 0C 1001000>cmp dword ptr ss:[ebp+C],110
  00401040 0F85 E8010000 jnz Sec_Add_.0040122E

  00401000 6A 00          push 0    oep
  00401002 E8 67DF0000    call Sec_Add_.0040EF6E
  00401007 A3 08404000    mov dword ptr ds:[404008],eax
  0040100C E8 D9730000    call Sec_Add_.004083EA
  00401011 6A 00          push 0
  00401013 68 30104000    push Sec_Add_.00401030
  00401018 6A 00          push 0
  0040101A 68 EC404000    push Sec_Add_.004040EC                ; ASCII "m00n"
  0040101F FF35 08404000 push dword ptr ds:[404008]             ; Sec_Add_.00400000
  00401025 E8 B1D80000    call Sec_Add_.0040E8DB
  0040102A 50             push eax
  0040102B E8 51C70000    call Sec_Add_.0040D781


  dump
  0012FFC4 7C816FE7  返回到 kernel32.7C816FE7
  0012FFC8 7C930041  返回到 ntdll.7C930041 来自 ntdll.7C930092
  0012FFCC 005F0778
  0012FFD0 7FFDD000
  0012FFD4 8054507D
  0012FFD8 0012FFC8
  0012FFDC 89357CB0
  0012FFE0 FFFFFFFF  SEH 链尾部
  0012FFE4 7C839AF0  SE 句柄
  0012FFE8 7C816FF0  kernel32.7C816FF0
  0012FFEC 00000000
  0012FFF0 00000000
  0012FFF4 00000000
  0012FFF8 0041A300  Sec_Add_.
  0012FFFC 00000000

转载于:https://www.cnblogs.com/MaxWoods/archive/2010/04/21/1716866.html

https://www.dkcj.cn/info/7090.html

互联网协议详解

本文转载自：https://www.cnblogs.com/111testing/p/6942585.html 目录：：：：：： 一、网络协议二、TCP（Transmission Control Protocol，传输控制协议） TCP头格式…

编程日记2024/05/20 15:50:00

【java】巨菜博主安装jdk为什么每次都失败？

今天到公司实习第一天，博主兴高采烈地的使用起来的公司配备的电脑，第一步是干啥？当然是安装JDK了，博主平生安装JDK次数数不胜数，但一遍整下来没有任何差错的情况少之又少。今天也不例外，多敲了个空格害我足…

编程日记2024/05/20 15:40:00

怎么在vs2010中使用ActiveX Test Container（转）

ActiveX Test Container Application is Still Available(转) Hello, I’m Pat Brenner, a developer on the Visual C Libraries team. I’ve noticed some posts on various forums lamenting the loss of the ActiveX Test Container application and I wanted to address …

编程日记2024/05/20 15:30:00

C#自定义控件四简易时钟

C#自定义控件四简易时钟效果图：简易时钟，顾名思义，简单容易，简单到什么程度呢？界面只有数字和指针，甚至连与当前时间都不能匹配！呵呵！就这么简单，学习嘛，从简…

编程日记2024/05/20 15:20:00

GitLab 配置邮箱

设置 SMTP 发送邮件这里以腾讯企业邮箱为例，其他邮箱可以参考设置 SMTP 发送邮件。 SMTP 和 POP3/IMAP 协议 SMTP 负责发送邮件，POP3/IMAP 负责接收邮件。其中 IMAP 基本上替换掉了 POP3。用户在使用客户端（例如 Foxmail）时&am…

编程日记2024/05/20 15:10:00

在 Ubuntu Natty 中解除系统托盘限制

在 Ubuntu 11.04 Natty 中，Ubuntu 对顶部面板右上角的通知区域（系统托盘）采用了白名单制度，只有支持 Indicators 并位于白名单的部分程序才会被显示在系统托盘中，目前支持的程序有： Java apps, Mumble, Win…

编程日记2024/05/20 15:00:00

Oracle10g客户端远程连接数据库全过程[转]

最近项目用到了oracle，使用的是oracle10g，因为小组内有多人使用数据库，并且oracle数据库很占内存，就放在单独的一台服务器上，所以最好每个人都装一个oracle10g的客户端。那么客户端到数据库的远程访问时免不了的了。…

编程日记2024/05/20 14:50:00

【css】页面出现两个滚动条以及只有一半页面显示内容的解决方法

可能当修改页面的margin等属性时会出现页面只有一半的页面显示内容的情况，此时我们可以修改css代码来解决问题代码实现： body{overflow:hidden}html{/*overflow-y:scroll;*/ }html{overflow: auto; } 注意：该代码为css代码，需…

编程日记2024/05/20 14:40:00

Microsoft Dynamics Marketplace

微软对一些产品提供网上销售第三方插件/解决方案的站点叫做 Marketplace，比如 Windows Phone Marketplace, Dynamics Marketplace.这样可以帮助合作伙伴/客户提供一个网上的产品交流平台，Microsoft Dynamics Marketplace 针对微软CRM/ERP 产品&#xff0…

编程日记2024/05/20 14:30:00

【hdu】4521 小明序列【LIS变种】【间隔至少为d】

题目链接：https://vjudge.net/contest/228455#problem/B 转载于：https://blog.csdn.net/a709743744/article/details/51765252 题目大意： 求最长上升子序列，其中子序列中相邻的两个数的下标差要超过k 解题分析： 子序列…

编程日记2024/05/20 14:20:00

【bootstrap】bootstrap-4.5.0-example 各个模板展示

前言：博主做前端开发的时候经常用到bootstrap，但挑选模板的时候，需要一个一个的打开文件夹、打开html文件再查看模板是否合适，这样实在有点浪费时间，所以今天博主将各个页面截图展示出来，之后方便大家也方便…

编程日记2024/05/20 14:10:00

HDU1053 Entropy 哈夫曼树

题目链接：http://acm.hdu.edu.cn/showproblem.php?pid1053 认真读题，别怕题长，此题考查的就是哈夫曼树并求出最小编码值，注意每一次要将数组清0，否则会出错！ AC代码： #include<iostream>…

编程日记2024/05/20 14:00:00

C++用数组和链表分别实现Queue

C用数组和链表分别实现Queue 昨天写了《C用数组和链表分别实现Stack》，今天就是《C用数组和链表分别实现Queue》， 队列就是先来的先被处理掉，后来的就等，直到成为先来的，实现起来感觉和栈差不多。模板好用的&#xff…

编程日记2024/05/20 13:50:00

bzoj1150 [CTSC2007]数据备份Backup

大概就是写了道生日礼物那个不知道叫啥的贪心。。。。。大概就是说这道题和那个比较像。。。所以留着看看吧，哪天想起了回来做这道题咯~ 转载于:https://www.cnblogs.com/LLppdd/p/9051440.html

编程日记2024/05/20 13:40:00

004本周总结报告

这一周总的来说并没有学到多少东西。只是学习了java数组相关的知识，发现和C/C中的数组基本一样，同时也了解到堆内存和栈内存的概念。在学习数组时发现java数组的length属性很好用，学习了数组的插入赋值，冒泡和选择排序等并用数组的…

编程日记2024/05/20 13:30:00

JS保留两位小数

JS保留两位小数对于一些小数点后有多位的浮点数，我们可能只需要保留2位，但js没有提供这样直接的函数，所以我们得自己写函数实现这个功能，代码如下： function changeTwoDecimal(x) { var f_x parseFloat(x); if…

编程日记2024/05/20 13:20:00

【资源分享】The Beatles(披头士)乐队所有专辑带封面

资源免费分享，送给各位披头士的粉丝。只求个赞可以吗。复制这段内容后打开百度网盘手机App，操作更方便哦链接:https://pan.baidu.com/s/1N5BXA18JeaznYhRRy6kiAw 提取码:5439

编程日记2024/05/20 13:10:00

Serial Communications in Win32

http://msdn.microsoft.com/en-us/library/ms810467.aspx http://hi.baidu.com/beisika/blog/item/b204d58f6c3bece9513d9297.html

编程日记2024/05/20 13:00:00

platform_driver_register适配的两种方式及probe是否启动与硬件关系

platform_driver_register2种方式学习 1.platform_device_register与platform_driver_register配合使用： 实例代码摘自下述网址： 这样当两个name一样时，就会嗲用mt65xx_leds_probe这个函数了。 static struct platform_driver mt65xx_leds_d…

编程日记2024/05/20 12:50:00

Java中创建泛型数组

Java中创建泛型数组使用泛型时，我想很多人肯定尝试过如下的代码，去创建一个泛型数组 T[] array new T[]; 当我们写出这样的代码时编译器会报Cannot create a generic array of T，初学泛型时，看到这个错就以为Java中不能创建泛型…

编程日记2024/05/20 12:40:00

【win】黑框中常用的命令

编程日记2024/05/20 12:30:00

eclipse假死解决办法

因为要同时开发android，还有毕设要用myeclipse，装了太多插件，eclipse老卡死，解决办法如下： 1、关闭myeclipse的插件（开发网页时再打开）方法如下： （1）eclipse-…

编程日记2024/05/20 12:20:00

Petapoco 连接oracle11g 自动生成poco时遇到的问题

偶尔在园子里看到.net的轻量级ORM框架Petapoco的介绍，觉得很有趣。相关介绍：PetaPoco：适用于.NET的微型ORM 正好最近有个C#Oracle11g的项目，想趁此机会试试用petapoco来做数据层的框架。在配置步骤和遇到的问题，记录如…

编程日记2024/05/20 12:10:00

网页分享插件 share.js 国外常用

这两天做推广，要求实现页面分享到国外各大社交媒体的功能。自己去翻各大厂的文档的话，实现起来时间相当长。 github 上找了个插件，很6. 地址： https://github.com/ellisonleao/sharer.js 支持主流的国外的社交媒体的分享。主要支…

编程日记2024/05/20 12:00:00

ORM操作models一对多、多对多关系

ORM操作单表、一对多表操作 1 from django.db import models2 3 4 class UserGroup(models.Model):5 title models.CharField(max_length32)6 7 8 class UserInfo(models.Model):9 username models.CharField(max_length32) 10 password models.CharField(max…

编程日记2024/05/20 11:50:00

【基础知识】如何快速转发CSDN博客

使用：火狐浏览器、Markdown编辑器一、打开要转发的博客、按F12并点击查看器二、复制页面的代码（此处用到一个小技巧） 1、鼠标点击该按钮 2、将鼠标放到图示位置，使变色的位置覆盖所有博客的内容后点击鼠标左键 3、看到下方代码…

编程日记2024/05/20 11:40:00

SQLServer 系统表

SQLServer 系统表 http://blog.163.com/zangyunling126/blog/static/1646245052010101641620415/ http://www.cnblogs.com/yolion/archive/2007/10/08/916767.html SQL系统表说明 http://hi.baidu.com/etimeman/blog/item/3d5d82fc09bbfff8fc037fae.html SQLServer系统表详细说…

编程日记2024/05/20 11:30:00

c#之旅--第一天

昨天开始的第一篇博客被我这个菜鸟找不到了，那就从今天开始吧废话也不多说了，good good study, day day up! 首先总结一下昨天所学： 从程序的开头开始吧，首先是引用，这里总结一下using的用法：1,。将外部命名…

编程日记2024/05/20 11:20:00

第十一周总结CoreIDRAW

一、学到了什么？ 1、交互式工具为制作逼真的特效提供了基础，如交互式调和工具常用于制作逼真的过滤效果；交互式阴影工具用于制作逼真的阴影；而交互式透明工具用于制作逼真的高光效果。 2、利用这些工具做了232页实训——画册制作和…

编程日记2024/05/20 11:10:00

formatData

//解决传入0 格化后不返回空的问题function formatAmountValueNew(objValue,flag) { if(objValue!"" && objValue!null) { if(flag0) { // 验证输入金额数值或数值字符串： return objValue.toString().replace(/,/g, "");…

编程日记2024/05/20 11:00:00

相关文章：