当前位置: 首页 > news >正文

应用安全 --- vmp加固 之 VMProtect 1.xx - 2.xx Ultra Unpacker v1.0

news 2025/11/15 0:54:59

应用安全 --- vmp加固 之 VMProtect 1.xx - 2.xx Ultra Unpacker v1.0

VMProtect 1.xx - 2.xx Ultra Unpacker v1.0

1.过反调试。vmp会检测是否在调试,如果是就闪退或者提示框。

2.查找OEP。通过入口特征法定位到OEP的程序真实入口。

3.修复VMCall和IAT。

4.dump内存

4.修复IT。

 

 

 

 

 

 

 

 

您提供的步骤是手动脱壳 VMProtect 的标准流程。让我为您详细补充和完善这个流程,特别是针对 VMProtect 1.70 + Delphi 的目标:

🔍 完整手动脱壳流程

1. 查找 OEP(原始入口点)

入口特征法 - Delphi 程序特征

asm
; Delphi 程序的典型 OEP 特征
push ebp
mov ebp, esp
add esp, -0C            ; 栈调整
mov eax, [xxxxxxxx]     ; 模块句柄
push ebx
push esi
push edi
mov [ebp-04], eax
mov eax, [eax]          ; 系统初始化

具体查找方法

方法一:API 断点法

bash
# 在以下 API 设置断点:
- GetModuleHandleA/W
- GetVersion
- GetCommandLineA/W
- GetStartupInfoA/W

方法二:内存访问断点

asm
; 在代码段设置内存访问断点
bpm 401000, r  ; 代码段地址

方法三:栈平衡观察

asm
; 观察栈指针变化,寻找返回主模块的时刻

2. 修复 VMCall 和 IAT

VMCall 识别和修复

asm
; VMProtect 的典型调用模式
call xxxxxxxx           ; 调用 VM 入口
; 后面通常跟有混淆代码; 修复方法:
; 1. 跟踪 call 的目标地址
; 2. 分析 VM 处理函数
; 3. 替换为原始 API 调用

IAT 修复步骤

步骤 1:识别 VM IAT 节区

bash
# VMProtect 通常创建的节区:
.vmp0, .vmp1, .vmp2

步骤 2:找到 API 重定向地址

asm
; 在代码中查找类似模式:
mov eax, [xxxxxxxx]     ; VM IAT 地址
call eax
; 或
jmp [xxxxxxxx]          ; VM IAT 地址

步骤 3:重建原始 IAT

bash
# 使用工具:
- ImportREC
- Scylla
- 手动构建导入表

3. Dump 内存

选择合适的 Dump 时机

bash
# 最佳时机:
1. 到达 OEP 后立即 dump
2. 所有 VM 代码已解密
3. IAT 修复完成前

Dump 工具选择

bash
# 推荐工具:
- OllyDump (OllyDbg 插件)
- Scylla (内置 dump 功能)
- LordPE
- Process Dump

Dump 参数设置

ini
# 重要设置:
- 保留原始 ImageBase
- 修正 PE 头
- 保留所有节区
- 不重建导入表(稍后手动修复)

4. 修复 IT(导入表)

使用 ImportREC 或 Scylla

步骤 1:获取 OEP 和镜像基址

bash
OEP: [找到的 OEP RVA]
ImageBase: [通常是 00400000]

步骤 2:自动查找 IAT

bash
# 在 ImportREC/Scylla 中:
1. 选择目标进程
2. 输入 OEP RVA
3. 点击 "IAT AutoSearch"
4. 点击 "Get Imports"

步骤 3:修复无效指针

bash
# 如果发现无效指针:
1. 手动跟踪调用链
2. 找到正确的 API 地址
3. 删除无效指针
4. 重新获取导入

步骤 4:转储修复后的文件

bash
# 最终步骤:
1. 修复转储文件
2. 选择刚才 dump 的文件
3. 保存修复后的可执行文件

🛠️ 针对 VMProtect 1.70 的特殊处理

VMCall 修复技巧

asm
; VMProtect 1.70 的调用特征可能包括:
; 模式 1:直接调用
call 00xxxxxx; 模式 2:寄存器间接调用
mov eax, 00xxxxxx
call eax; 模式 3:内存间接调用
call dword ptr [00xxxxxx]

IAT 重建策略

bash
# 对于每个 VM IAT 条目:
1. 设置硬件断点
2. 跟踪实际调用的 API
3. 记录 API 名称和模块
4. 重建导入描述符

📋 详细操作检查清单

阶段 1:准备阶段

  • 配置 OllyDbg 反调试插件

  • 设置硬件断点支持

  • 准备 dump 和修复工具

阶段 2:OEP 定位

  • 在 TLS 回调设置断点

  • 在系统 API 设置断点

  • 使用内存断点跟踪

  • 确认找到真正的 OEP

阶段 3:分析和修复

  • 识别所有 VMCall 模式

  • 映射 VM IAT 到真实 API

  • 选择合适的 dump 时机

阶段 4:Dump 和重建

  • 使用工具 dump 内存

  • 使用 ImportREC/Scylla 修复导入表

  • 验证修复结果

⚠️ 常见问题解决

OEP 定位失败

bash
# 解决方案:
1. 尝试不同的 API 断点
2. 使用堆栈跟踪方法
3. 分析 Delphi 启动例程特征

IAT 修复不完整

bash
# 解决方案:
1. 手动添加缺失的 API
2. 使用 ARImpRec.dll 辅助识别
3. 分析调用链找到正确地址

Dump 文件无法运行

bash
# 检查项目:
1. OEP 是否正确
2. 导入表是否完整
3. 节区对齐是否正确
4. 资源是否可访问

🎯 VMProtect 1.70 优化建议

利用版本弱点

bash
# VMProtect 1.70 的已知特性:
1. 相对简单的虚拟机
2. 有限的 anti-dump 技术
3. 标准的 API 钩子方式
4. 可预测的代码变形模式

自动化辅助

即使手动脱壳,也可以:

bash
# 使用脚本辅助:
1. 自动记录 API 调用
2. 批量修复 VMCall
3. 生成导入表模板

这个完整的手动脱壳流程应该能够帮助您成功处理这个 VMProtect 1.70 保护的 Delphi 程序。每个步骤都需要仔细执行和验证,确保最终生成的可执行文件功能完整。