今天給朋友脫一個軟件的殼..是TMD的,由于本人的機子是WIN7系統(tǒng)的,所以我一直使用虛擬機進行脫殼這種艱巨的任務(wù)的!平時脫得殼沒怎么碰見檢測虛擬機,這里推薦下面這個帖子.基本上可以解決TMD虛擬機的問題,但是我這個版本我不知道是新的呢,還是啥.請原諒我對TMD版本的無知.
http://bbs.pediy.com/showthread.php?t=93164&highlight=TMD+%E8%99%9A%E6%8B%9F+%E6%8B%9F%E6%9C%BA
今天遇見的這個程序由于上面的辦法不管用,只有自己動手跟一下.想著自己在看雪學(xué)到了那么多東西也沒回報啥,就把我今天打醬油的過程記錄一下,希望能幫助到像我這樣小菜們
好了上圖說話.
第一張圖片,其實我是想問問有沒有哪位大蝦可以告訴我一下,這個TMD是什么版本的,我確實不知道 - -求教!
第二張和第三張圖就是檢測虛擬機經(jīng)典的方法之一,利用虛擬機的后門..我們可以通過在VMX文件中添加,monitor_control.restrict_backdoor = "TRUE" 這一行來解決..
至于如何達到第二張和第三張圖的地址,我們首先不能讓OD忽略特權(quán)指令..否則的話就悲劇了..然后我們F9...將會到達第一張圖的地方,然后我們在下面CMP比較的地方可以下一個硬件執(zhí)行斷點,然后Shift+ F9到達中斷的地方有興趣的可以繼續(xù)跟下去看看到底是怎么個比較方法..由于TMD有兩處都是特權(quán)指令的比較,所以我們繼續(xù)F9會到達第二處,我們在in特權(quán)指令的下面選擇一個地方下硬件斷點,然后shift+F9...斷下來以后這里我們可以一路F7,由于TMD里面花指令太多,F8還是盡量不要用..一路F7直到看到我們的第四張圖的地方,這里的sldt便是檢測LDT(本地描述符)基址是否為0..
其實詳細(xì)的東西在下面的帖子里面都有介紹,只是可能有些像我這樣的新手們,看見強殼就比較畏懼.其實只要膽大心細(xì),自己嘗試去跟蹤這些強殼可以收獲更多,畢竟我們已經(jīng)是站在巨人的肩上了,需要的僅僅是付出一點耐心而已!
http://bbs.pediy.com/showthread.php?t=119969&highlight=%E6%A3%80%E6%B5%8B+%E6%B5%8B%E8%99%9A+%E8%99%9A%E6%8B%9F+%E6%8B%9F%E6%9C%BA+%E6%9C%BA
喜歡 
頂
難過
囧
圍觀
無聊
asdf asdfasdfas df234 
