发布两个DNFVM还原教程看懂能搞定全部DMFVM
本帖最后由 千年老污龟 于 2016-8-17 00:45 编辑之前 在某论坛发布过的 只要你看懂了 基本上XNFvm对你起不了什么作用。
教程虽然说是还原,但是用来参考被VM的原句也是可以的。
一个基本的处理列 :
基质 汇编
1 push ebp
2 mov ebp,esp
3 push -1
4 push xxxxxxxx
像上面代码是XNF最常见VM了
push ebp
mov ebp,esp
push -1
这三句5字节 是最常见XNFvm了
VM之后就是这样
基质 汇编
1 jmp 04xxxxxxx
4 push xxxxxxx
就这样
你直接还原可能会被CRC扫到 那么你就可以在VM里面还原
基质 1 转向的就是VM开始地址所以你可以对VM开始地址04xxxxx进行直接还原
04xxxxxx直接改成
push ebp
mov ebp,esp
push -1
jmp 4
这样估计就W美的过掉了vm当然你也可以HOOKVM实现你自己的功能call我就不多说了
教程地址: **** 本内容需购买 ****
打酱油的啦,飘过赚点海币而已。 通过百度找的论坛,看了几篇帖子,真心都不错! 打酱油的啦,飘过赚点海币而已。 通过百度找的论坛,看了几篇帖子,真心都不错! 打酱油的啦,飘过赚点海币而已。 看看喀喀喀 打酱油的啦,飘过赚点海币而已 虽然用不到 但是也要支持 {:smile:}{:sad:}{:biggrin:}
页:
[1]
2