看看你的杀软对VMProtect的处理能力~关于VMProtect脱壳问题的实验~~~

andylau

vardyh 发表于 2013-2-23 21:57
看 http://bbs.kafan.cn/thread-1473165-1-1.html 10楼

10樓只看到火絨報殼而已

china_killer

andylau 发表于 2013-2-23 22:17
10樓只看到火絨報殼而已

恰恰相反～～～ 火绒虚拟机跑开了～

流星街

都是高手，我完全看不懂....

zhq445078388

andylau 发表于 2013-2-23 22:17
10樓只看到火絨報殼而已

虚拟机跑开了
不过我只能说这个vmp没加严实

不知道这是剑

zhq445078388 发表于 2013-2-23 23:58
虚拟机跑开了
不过我只能说这个vmp没加严实

对了，腾讯网游的主EXE统统都加了VMP的，用7Z看EXE，一堆nsn，都是啥？

andylau

china_killer 发表于 2013-2-23 22:26
恰恰相反～～～ 火绒虚拟机跑开了～

genpack 也沒指明是什麼pack....

報的名字是Crypto，也就是說加密了的意思而已，跑開了還是Crypto? 那原本也報Crypto?

跑開了也不能報回同一名字的話，那麼到底跑開了些什麼啊.....

vardyh

andylau 发表于 2013-2-24 07:22
genpack 也沒指明是什麼pack....

報的名字是Crypto，也就是說加密了的意思而已，跑開了還是Crypto?  ...

1. 火绒所有不受特定脱壳流程指导的脱壳流程都是genpack（通用脱壳），这类壳都是虚拟机硬跑，其他比如upx是根据壳的流程由引擎指导着来让虚拟机跑的（比如会下断点，告诉虚拟机跑到什么程度就可以停了）；
2. 前后报的名字一样，说明加壳前后样本行为在火绒虚拟机虚拟执行时是一样的，所以才能被同一条启发记录报毒；如果报不同名字才说明虚拟机没跑开；

andylau

vardyh 发表于 2013-2-24 09:38
1. 火绒所有不受特定脱壳流程指导的脱壳流程都是genpack（通用脱壳），这类壳都是虚拟机硬跑，其他比如 ...

既然原本樣本沒加殼
那為何原本樣本還報Crypto?

vardyh

andylau 发表于 2013-2-24 09:47
既然原本樣本沒加殼
那為何原本樣本還報Crypto?

你ida看一下那个样本就知道了，报Crypto不是报壳的意思

andylau

vardyh 发表于 2013-2-24 11:09
你ida看一下那个样本就知道了，报Crypto不是报壳的意思

不會用IDA
Crypto就是加密的意思啊
你想說原本那樣本就是加密了的?