|
|
楼主 |
发表于 2008-8-12 17:34:28
|
显示全部楼层
|阅读模式
来自 四川省泸州市
-----------------------------------------------------------------------------------------
黑狼基地 菜鸟起飞的乐园www.nb5.cn
我们有狼的精神!有困难不怕,就怕遇不到困难
黑狼基地与朋友们携手共创美好明天!欢迎光临黑狼基地!
-----------------------------------------------------------------------------------------
大家好,我是冰河洗剑,QQ:443863348,今天我给大家带来的教程是Vmprotect虚拟机保护
首先我们说下Vmprotect虚拟机
新一代的软件保护程序。在虚拟机中完成保护的代码部分,非常强力的使分析(设断点)被保护的程序复杂化。内置反汇编程序和连接文件的 MAP 以便允许你为保护设断点快速的查找部分的代码。支持非常多的编译程序:Delphi, Borland C Builder, Visual S/.CH++, Visual Basic (native), Virtual Pascal
有人曾经测试过,被Vmprotect虚拟机不是100%可以被还原的,所以说它的加密效果是相当好的,正因为如此,以前曾经大量使用与保护木马,所以杀毒软件没有办法,只能报毒(不是一般的报毒,是你用这个加密它就报毒 这里是我用WINDOWS的记事本加密后的查毒效果 肯定是没毒的,哪有杀毒软件啥系统文件的^_^ http://virscan.org/report/aab4eb0d8d549f842664feb2c960386b.html
我们来看看结果,主要就是外国的,和国内的瑞星,金山
25%的杀软(9/36)报告发现病毒,看到没有,所以说我们不能再单纯依赖与这款软件了,加密后还要自己处理
今天我先教大家如何使用Vmprotect虚拟机
这个是记事本WINDOWS自带的,我用这个演示是因为我这里的木马现在都是免杀的,再加密反而被杀,我只好用这个演示了,反正效果差不多
我这里先教大家一个脱壳的方法,这个记事本我是NSanti处理过得,我教程前面弄得,我们先来用PEID查一下
Anti007 V1.0-V2.X -> NsPacK Private
我相信大家有不少人手脱这个还是有问题的,现在我教大家一个简单的方法,让OD帮我们来脱这个壳
我们现在先打开OD,先不要帮文件拿进去,我们先设置一下
打开Ollydbg设置异常选项中的SFX项选择“快方式跟踪真正入口处” 确定保存
我们再把东西拖进去,好了,稍等一下,OD停下的地方就是OEP了,我直接DUMP下来了,运行一下看看
能够运行,我们就不用修复了
已经脱掉了Microsoft Visual C++ 7.0 Method2简单吧,OD完成的~~
好了我现在把这个记事本用VM加密
把入口那句选中,再来点上面的添加地址,选折是点编译是否打开就选否,我们手动测试可不可以运行
好了,现在可以关掉了可以运行,我们来PEID看下
看到没有,代码都变了,但是入口还是不变我们看看体积体积大了52KB
vmprotect 虚拟机保护的利用就演示到这里
教程还是比较简单的,就到这里了,大家不懂的话可以多看几遍就好了,还有,用这个保护以前你如果要修改特征的,先修改好,保护后代码会变,特征也就变了,还有,保护后再修改很容易出错,所以我们加密后最好再用强壳保护或者手动定位壳上特征,这样一般就可以过主流了,好,88
教程下载地址:点击下载 |
|
发表于 2008-8-15 19:14:00
发表于 2008-8-15 19:43:07
