[原创]VMProtect3.31的"OEP之旅"

最近试着分析找了一下VMP3.31保护下的oep，以前从没分析过，第一次分析还是挺有意思的，打算和大家说说我找oep的旅途，错误纰漏处还请指正包涵。找暂停点，不仅仅是为了下硬件断点，下断 CreateToolhelp32Snapshotrun2次对vmp0下内存执行断点并且run停在vmp0区段先把ep第一行nop掉（避免首字节int3检测），ep第二行改成jmp 0x45e53e，使程序只跑在ep这一段代码。

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-251250.htm

xie风腾

请问会脱VMP壳吗??
OEP应该只是一个开始吧。

xiaohang

oep附近的代码被tolen，这还是asp时代创造出来的技术，现在其实保护强度也已经不大了，由于编译器生成的oep大致相同，有固定特点，所以不需要还原vm后的oep，只需按照编译器特点手动写一个oep ...
只要oep的代码没被vm即可，利用特征码或者oep处调用的第一个api

StriveXjun

VirtualProtect 最后一个区段，在跟个vm_retn 就到OEP了。 所有版本VMP都是这样
请问会脱VMP壳吗??

感谢xiaohang版主和Xjun的指点

VirtualProtect 最后一个区段，在跟个vm_retn 就到OEP了。 所有版本VMP都是这样

oep附近的代码被tolen，这还是asp时代创造出来的技术，现在其实保护强度也已经不大了，由于编译器生成的oep大致相同，有固定特点，所以不需要还原vm后的oep，只需按照编译器特点手动写一个oep就行了。不管怎么说，楼主的有些思路还是挺有意思的，不过我个人找oep的方法可能还要简单一些，呵呵

牛逼哄哄！

虽然看完没看懂，但还是学学大佬的分析