今天給朋友脫一個軟件的殼..是TMD的,由于本人的機(jī)子是WIN7系統(tǒng)的,所以我一直使用虛擬機(jī)進(jìn)行脫殼這種艱巨的任務(wù)的!平時脫得殼沒怎么碰見檢測虛擬機(jī),這里推薦下面這個帖子.基本上可以解決TMD虛擬機(jī)的問題,但是我這個版本我不知道是新的呢,還是啥.請?jiān)徫覍MD版本的無知.
http://bbs.pediy.com/showthread.php?t=93164&highlight=TMD+%E8%99%9A%E6%8B%9F+%E6%8B%9F%E6%9C%BA
今天遇見的這個程序由于上面的辦法不管用,只有自己動手跟一下.想著自己在看雪學(xué)到了那么多東西也沒回報啥,就把我今天打醬油的過程記錄一下,希望能幫助到像我這樣小菜們
好了上圖說話.
第一張圖片,其實(shí)我是想問問有沒有哪位大蝦可以告訴我一下,這個TMD是什么版本的,我確實(shí)不知道 - -求教!
第二張和第三張圖就是檢測虛擬機(jī)經(jīng)典的方法之一,利用虛擬機(jī)的后門..我們可以通過在VMX文件中添加,monitor_control.restrict_backdoor = "TRUE" 這一行來解決..
至于如何達(dá)到第二張和第三張圖的地址,我們首先不能讓OD忽略特權(quán)指令..否則的話就悲劇了..然后我們F9...將會到達(dá)第一張圖的地方,然后我們在下面CMP比較的地方可以下一個硬件執(zhí)行斷點(diǎn),然后Shift+ F9到達(dá)中斷的地方有興趣的可以繼續(xù)跟下去看看到底是怎么個比較方法..由于TMD有兩處都是特權(quán)指令的比較,所以我們繼續(xù)F9會到達(dá)第二處,我們在in特權(quán)指令的下面選擇一個地方下硬件斷點(diǎn),然后shift+F9...斷下來以后這里我們可以一路F7,由于TMD里面花指令太多,F8還是盡量不要用..一路F7直到看到我們的第四張圖的地方,這里的sldt便是檢測LDT(本地描述符)基址是否為0..
其實(shí)詳細(xì)的東西在下面的帖子里面都有介紹,只是可能有些像我這樣的新手們,看見強(qiáng)殼就比較畏懼.其實(shí)只要膽大心細(xì),自己嘗試去跟蹤這些強(qiáng)殼可以收獲更多,畢竟我們已經(jīng)是站在巨人的肩上了,需要的僅僅是付出一點(diǎn)耐心而已!
http://bbs.pediy.com/showthread.php?t=119969&highlight=%E6%A3%80%E6%B5%8B+%E6%B5%8B%E8%99%9A+%E8%99%9A%E6%8B%9F+%E6%8B%9F%E6%9C%BA+%E6%9C%BA
喜歡 
頂
難過
囧
圍觀
無聊
asdf asdfasdfas df234 
