[原创]VMP3.x一键脱壳机

#1 楼主 2026-06-01 21:09:02

测试环境:win11
软件来源:Vidar - ST团队编写
本程序仅供学习与参考如有侵权请联系作者删除
蓝奏下载地址49cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4g2F1i4K6u0W2L8r3q4F1P5X3&6Q4x3X3g2U0L8$3#2Q4x3V1k6T1x3o6x3K6k6r3S2^5y4X3t1`.
密码:cge7
VMP3.x的脱壳机闲来无事写的此版本仅支持易语言程序

拖入OD直接断GetVersion解码

解码后用cmd打开本程序输入软件进程名

自动跑了代码之后会显示OEP地址

来到OEP dump出文件

可以看到文件已经被dump出来了

当然现在还不算完现在还需要重复上述操作将dump出来的文件再次修复处理

把dump的文件拖进OD 重复上述操作再次修复

这时候我们就可以dump了

第二次dump的文件正常运行！！！

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2024-1-21 14:06
被smt_团长编辑

，原因：

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-280278.htm

#2 2026-06-01 21:09:02

xggd

看来我的易语言软件不能用VMP了

不是很绝对如果有些关键代码被VM 也无法一键脱壳

#3 2026-06-01 21:09:02

其实手动脱壳，借助vmp 3.x的插件，bp kernel32!XXXX,到一个合适的代码解压完毕后的API函数位置，然后中断，在返回，栈回溯，就能找到脱壳前的oep.

#4 2026-06-01 21:09:02

他这个是纯粹脱掉VMP加的入口区段壳，自建调试+定位特征码到壳解压代码位置硬件断点脱壳原理，至于修复IAT可以参考tmd修复方式，解决基址+重定位就可以了，至于对某个函数或者代码分页进行VMP的话，是基本上脱不掉的得处理opcode+乱序花+膨胀代码+还有jmp表和若干个handle

#5 2026-06-01 21:09:02

woainihehe

为什么我测试的结果是一闪而过没有dump出来任何东西

cmd运行

#6 2026-06-01 21:09:02

zylrocket

哥们，vmp加密的驱动程序，能搞？

仔细看最上边的文本

#7 2026-06-01 21:09:02

梅雨个个

“把dump的文件拖进OD 重复上述操作再次修复”
重复上述步骤还需要寻找GetVersion吗还是直接拖进去执行软件修复 dump就可以了

直接修复然后dump即可

#8 2026-06-01 21:09:02

“把dump的文件拖进OD 重复上述操作再次修复”
重复上述步骤还需要寻找GetVersion吗还是直接拖进去执行软件修复 dump就可以了

#9 2026-06-01 21:09:02

哥们，vmp加密的驱动程序，能搞？

#10 2026-06-01 21:09:02

真嘟假嘟

#11 2026-06-01 21:09:02

这都给你做出来了????

#12 2026-06-01 21:09:02

为什么我测试的结果是一闪而过没有dump出来任何东西

#13 2026-06-01 21:09:02

那不得给你扣个6

#14 2026-06-01 21:09:02

厉害了。

#15 2026-06-01 21:09:02

看来我的易语言软件不能用VMP了

#16 2026-06-01 21:09:02

感谢分享