滴水逆向联盟

标题: 学员作品_定位VMP的OEP(网络班3期学员INT3) [打印本页]

作者: haidong 时间: 2015-10-21 17:28
标题: 学员作品_定位VMP的OEP(网络班3期学员INT3)
学员作品_OEP之VMP(网络班3期学员INT3)

涵盖内容：

一、寻址OEP

二、绕VMP检测

三、代码的COPY执行

定位OEP:

http://pan.baidu.com/s/1i3vYB4L

工具：

http://pan.baidu.com/s/1pJrI8K7

特别说明：

1、VMP与之前的壳差异很大，没有PE基础和一般的脱壳基础可能无法理解视频要表达的内容.

2、本视频主要侧重与定位被VMP加密的程序的OEP,而不是VM还原.所以吐出的代码与加密前的代码区别并不大.

3、为什么填充INT 3?

这里有一个假设，那就是VMP再吐回代码的时候必然要读取原来的位置，但具体读哪里无法判断，所以就将所有可能的地方填充INT 3 这样只有VMP一读这个位置就能获取到地址.

而这个最先读的地址就是OEP.通过这种方式找到的OEP在作者自己的机器上测试是可行的，但并没有做大量的其他的测试，可能还会有特殊情况，此处不表。

仅供学习，高手勿喷！

现征集优秀学员作品，内容范围：

1、游戏数据分析

2、加壳脱壳

3、Windows内核

或者其他相关专题。。。

在录制的过程中会提供相应的技术指导，录制合格后会在学员作品区进行展示，机会难得！！

作者: 寒烟 时间: 2015-10-22 08:58
支持，INT3厉害

作者: bcjc208 时间: 2016-12-13 11:29
这么机智的思路。。。。。。。

欢迎光临滴水逆向联盟 (http://www.dtdebug.com/)