VMProtect是一种很可靠的工具,可以保护应用程序代码免受分析和破解,但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下,才能实现最好的效果。
【下载VMProtect最新试用版】
③特殊Opcode解析
一般例如jmp call都是需要二次解析的
拿条命令举例说明:jmp dword ptr ds:[eax*4+0x474FCF] 这一条命令就是跳到不同的Handle块执行,jmp它Opcode是FF所以对应的VMOpcode=0xC
根据跳转类型判断,判断E8 E9 EA 近 段间 短跳转
例如像那种:jmp VMDispatcher就会符合条件例如像那种:jmp VMDispatcher就会符合条件
我们这个是else if ( DisassemblyFunction->Magic == 2 )
解析sub_4918E8函数
首先看一看sub_494F60函数,保存VmOpcode信息跟Displacement,再根据大小读取,设置ModRM信息
v5->First.ModRM_mod__Or__Size = 2;jmp dword ptr ds:[eax*4+0x474FCF] 就是这种寻址方式
SetDisassemblyFunction_Address函数解析
if ( v8->VMOpcode == 1 || (result = v8->VMOpcode - 3, v8->VMOpcode == 3) )成立条件v533->VMOpcode=1:case 0xA8: // Test al,imm8case 0x16u: // push sscase 0x1Eu: // push dscase 0x50~0x57: // 50=push rax/r8 51=push rcx/r9以此类推case 0x68u: // push Imm32/16等等v533->VMOpcode=3:case 0xC7u: // MOV R/M32,IMM32case 0x20: // and Eb,Gbcase 0x22: // and Gb,Eb等等
SetDisassemblyFunction_Address函数涉及到的结构体如下:
执行依次SetDisassemblyFunction_Address标记结尾。(注意这里参数2就是:0xC)
VMProtect正版授权专享在线订购特享超低价格!还不赶紧加入你的订购清单/span>>>更多详情可点击咨询购买
标签:
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!