awesome-vmp icon indicating copy to clipboard operation
awesome-vmp copied to clipboard

Published 20 hours ago verified publisher icon lmy375

如何识别 vmp 版本呢?

Open neighbads opened this issue 6 years ago • 1 comments

neighbads avatar Mar 22 '18 00:03 neighbads

外壳可以通过 exeinfo 和 peid 查。但结果比较粗略 不一定准备

1.x 和 2.x 虚拟机 都比较类似 能找到解释循环 代码中形如 mov edx, dword ptr [eax*4+0x404cf8] / ret 之类的指令

3.x 整体解释执行结构变了 指令跳转变成链式结构 靠 jmp edi 指令

这些指令特征可以作为识别版本的一点参考

lmy375 avatar Mar 22 '18 02:03 lmy375