他乡_01

【00:10】网址“www.jxsrjy.com”貌似打不开了... QQ号：751350937

【01:05】首先我们要判断出，它是 VMP壳。

　　工具：

　　　　“FastScanner 3”　　==> 它只认识 VMP v1.704

　　　　【01:33】exeinfope (ZC: 视频里面这个工具没有显示出来...)，它认得不全 只认识 1.6x~2.03

　　　　【02:30】一般的判断是否是 VMP壳，直接用PEiD(视频中的版本为v0.95)来看，或者载入OD分析。

 

PEiD 查看：

　　【02:40】这个是 1.6x~1.70之间的。倒数2/4  两个VM段 (ZC: 易语言)

　　【02:53】这个就是 1.704.从区段就可以判断出 是Delphi的程序。3个(VM)段 1.704的

　　【03:05】这个是VB的1.704的。2个(VM)段

 

　　【03:11】我们看一下 1.8的

　　【03:15】这样子的也是 1.8的。倒数1/3  两个VM段　(节vmp0 和 节vmp1)

　　【03:25】这个也是1.8的。1.8 有两个 upx(节upx0 和 节upx1) (ZC: 但是上面却是 vmp0和vmp1，怎么解释？)

 

　　【03:35】2.01

　　【03:40】2.012，有4个VM段 (vmp0,vmp1,vmp2,vmp3)

 

　　【03:49】2.030，3个VM段 (vmp0,vmp1,vmp2)

　　【03:55】2.030，这样的也是，有4个VM段 (vmp0,vmp1,vmp2,vmp3)

 

　　【04:00】2.050，3个VM段 (vmp0,vmp1,vmp2)

　　【04:08】2.050，这样的也是，有4个VM段 (vmp0,vmp1,vmp2,vmp3)

 

　　【04:13】2.060，2个VM段 (Ev00,Ev01)

　　【08:18】2.060，有4个VM段 (vmp0,vmp1,vmp2,vmp3)

 

【04:30】这样我们就把 VMP的情况，做了一个判断，判断 是 VMP加密的，是VMP什么版本加密的 

　　ZC: 貌似没讲什么啊... 判断 VMP版本的依据是什么？VM节的个数？VM节的名称？

 

【05:40】讲一下 VMP的 逆向分析 和 静态还原

　　【09:40】“vmprotect+ultimate_2.04.6注册版”

　　【09:53】VMProtectVMP1704_chs

　　　　该软件，使用的相关讲解

1、

2、

3、