关于VMProtect脱壳问题~~~

显示全部楼层 · 发表于 2013-2-23 20:22:44

本帖最后由 vardyh 于 2013-2-23 21:21 编辑

最近，这两个帖子中，

http://bbs.kafan.cn/thread-1471826-1-1.html
http://bbs.kafan.cn/thread-1471943-1-1.html

一直有朋友提起vmprotect保护的问题，无外乎两个论点：
1. vmprotect是虚拟混淆的，所以没法解；
2. vmprotect太强，解不了，所以直接杀有情可原；

对于论点1我部分承认，VMProtect确实强，这点我必须承认，但并非完全无解，当然火绒也不能保证跑开全部vmprotect保护的样本，

而对于论点2我就不敢认同了，总要努力下吧。。。

废话不多说了，我随便找了个病毒样本，做了下实验，

附件中 1.ex_ 是原始样本，(VT: https://www.virustotal.com/en/file/48bf05a1899e6420ee5ec7ff39d34547bc83aec7b3273dddbb06b6e4c637b094/analysis/)
附件中 1.vmp.ex_ 是经过 VMProtect Ultimate v2.06 默认参数加壳的，(VT: [url]https://www.virustotal.com/en/file/69045c63da33e1f12da36c0d3f28e28d42c259e1a945bfd0b50dbedd4ff57d51/analysis/1361620816/)

大家可以看下，vmprotect保护前vt上37家报，保护后vt上21家报，
另外，两个样本都报的，大家也可以留意下病毒名，是可以看出些端倪的，具体我不多解释了，避免口水，理性讨论~~

有兴趣的朋友，拿起你们的扫描器，比较下两个样本报的病毒名、扫描文件数~~

如果你的杀软两个样本报不一样名字，说明肯定没脱vmprotect（有的甚至直接把vmprotect报毒了，vmp可是商业壳

）
如果两次报的名字一样，很有可能你的杀软跑开了vmprotect的保护代码（如果扫描数>=2，那基本可以肯定是跑开了

）

显示全部楼层 · 发表于 2013-2-23 20:26:32

军哥，我ESET发威了。。

显示全部楼层 · 发表于 2013-2-23 20:27:03

坐观~

显示全部楼层 · 发表于 2013-2-23 20:27:10

沙发

被抢了。。。呜呜

显示全部楼层 · 发表于 2013-2-23 20:30:05

蓝天二号发表于 2013-2-23 20:26
军哥，我ESET发威了。。

看病毒名，直接把vmprotect报了

显示全部楼层 · 发表于 2013-2-23 20:31:01

vardyh 发表于 2013-2-23 20:30
看病毒名，直接把vmprotect报了

是的，，很强大啊。。

显示全部楼层 · 发表于 2013-2-23 20:33:37

保护后数字 qvm16

你能看的出真谛么~

显示全部楼层 · 发表于 2013-2-23 20:34:11

第一个

第二个

显示全部楼层 · 发表于 2013-2-23 20:39:24

来凑凑热闹

显示全部楼层 · 发表于 2013-2-23 20:40:33

[病毒样本] 关于VMProtect脱壳问题~~~

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源