QQ959353102.vmp.exe病毒
想要脱VMP的壳,首要工作当然是要找一个强OD。至于是什么版本的OD自己多试验几个,网上有很多,一般来说只要加载了你想脱的VMP加壳程序不关闭都可以。
其次,就是StrongOD.dll这个插件了,现在用的比较多的就是海风月影。下载回来后复制到你的OD程序所在的文件夹里面的plugin里。StrongOD的设置选项搞不懂就全部打钩。
接下来要做的工作就是搞清楚我们要脱壳的程序编程的语言了,可以用PEID或者fastscanner查看,如果在这里看不到也可以在OD载入以后通过里面的字符串判断了。例如VB的程序会出现MSVB----/VC的会出现MSVC---等等。这些都是程序运行所需要的windows链接文件。
做完这些预备工作接下来当然是用OD载入文件。文件载入后在反汇编窗口CTRL+G搜索VirtualProtect(注意V跟P要大写,至于为什么要搜索这个别问我)。一般来说搜索的结果会出现以下的类似: 7C801AE3 E8 75FFFFFF call kernel32.VirtualProtectEx 我们在这里下F2断点。然后F9运行到我们下的这个断点。接下来我们就要注意观察堆栈窗口了。一般来说当我们F9运行到我们上面下的断点的时候在堆栈窗口会出现以下类似:0012F66C 00401000 |Address = TradeCen.004010000012F670 000280D1 |Size = 280D1 (164049.)0012F674 00000004 |NewProtect = PAGE_READWRITE0012F678 0012FF98 \pOldProtect = 0012FF98 我们要注意观察的就是在接下来我们F9运行的时候,ADDRESS和NEWPROTECT这两行的变化。按F9-速度别太快,直到NewProtect项变为PAGE_READONLY,这时候程序就释放完毕了。0012F66C 0042A000 |Address = TradeCen.0042A0000012F670 000069DE |Size = 69DE (27102.)0012F674 00000002 |NewProtect = PAGE_READONLY0012F678 0012FF98 \pOldProtect = 0012FF98
现在可以取消刚才我们下的断点了。接下来就是找OEP了。找OEP的时候我个人的一个经验就是OEP一般就在接近上面的ADDRESS地址的附近。例如上面的地址是0042A000,我一般就在这个基础上减到420000搜索程序的特征段,当然我们也可以直接跳到401000开始搜索。虽然我们搜索的范围比较大,但是因为我们搜索的是命令序列,所以工作量还不是很大。
CTRL+G--上面的地址,然后CTRL+S 查找命令序列。命令序列的内容就是我们用查到的编程语言的特征段。我们可以在特征段里面选择两三句固定不变的命令查找。例如VC++6.0的特征段是:0046C07B U> 55 push ebp0046C07C 8BEC mov ebp,esp0046C07E 6A FF push -10046C080 68 18064C00 push UltraSna.004C06180046C085 68 F8364700 push UltraSna.004736F80046C08A 64:A1 00000000 mov eax,dword ptr fs:[0]0046C090 50 push eax0046C091 64:8925 00000000 mov dword ptr fs:[0],esp0046C098 83EC 58 sub esp,580046C09B 53 push ebx0046C09C 56 push esi0046C09D 57 push edi
我们可以只搜索前三条命令。找到符合前三条命令的,我们在对照接下来的命令。只要命令相符那这个地址八九不离十就是OEP了。如果在ADDRESS地址附近找不到OEP,那就只好用笨办法,从401000开始找吧。
找到OEP地址后,我们在OEP处点鼠标右键《此处为新EIP》。接下来就可以dump啦。通常选择OD的dump插件脱壳要好点,用loadpe脱壳后要么程序不运行要么干脆没脱。用OD的dump插件脱壳的时候,脱壳窗口下面的(重建输入表)项前面的勾一定要去掉。
我的是Win7的系统,好像Win7的系统有点特殊,有的挂需要更换主题模式,有的更是根本就打不开。望高人指点!~~~
您好:
您可以重启电脑按下F8键,然后选择进入安全模式,进入安全模式以后打开腾讯电脑管家,使用腾讯电脑管家的杀毒功能对您的电脑进行一下全盘杀毒,杀完毒以后重启电脑就可以了,如果进入安全模式也要密码的话,那您就买一张GHO光盘,使用光盘删掉密码以后进入系统杀毒就可以。
您可以点击这里下载最新版的腾讯电脑管家:腾讯电脑管家最新版下载
如果有其他问题,欢迎继续到电脑管家企业平台提问
愿我的答案 能够解决您的烦忧
这病毒我知道怎么搞定,非常简单的你试试呗
下载腾讯电脑管家“8.7”最新版,对电脑首先进行一个体检,打开所有防火墙避免系统其余文件被感染。
打开杀毒页面开始查杀,切记要打开小红伞引擎。
如果普通查杀不能解决问题,您可以打开腾讯电脑管家---杀毒——全盘杀毒- 进行深度
扫描。
查杀处理完所有病毒后,立刻重启电脑,再进行一次安全体检,清除多余系统缓存文件,避免二次感染。
如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢
朋友可以使用360系统急救箱在安全模式下来清除病毒,如果无法进入安全模式,你可以把你的硬盘卸下来在别人的电脑上用杀毒软件来对你的硬盘进行杀毒,祝你好运。
里温普米:[答案] 边际产品价值(VMP):生产要素的边际产品MP和产品价格P的乘积. w是投入要素价格.
高州市18491887654: 3D控件去哪下啊?
里温普米: http://dl_dir.qq.com/3dshow/VMPFull_Tencent.exe 刚开始连接比较慢,连上后就快了. 安装时你双击就可以了,没有提示,不要以为没有安装上啊
高州市18491887654: 初级微观经济学问题.生产要素价格下降 vmp怎么运动.完全竞争市场,多个厂商.书上只简单说要素价格下降使单个边际产品价值曲线向左下方运动.我不明白为... - ?
里温普米:[答案] vmp=mp*p=w 什产要素价格下降 成本降低 产量增加 市场均衡价格p降低 vmp降低 在要素价格与使用量的图标中p表现问外生变量 使得vmp向左移动
高州市18491887654: 什么是金属颜料? ?
里温普米: 金属颜料(metallic pigment)是用于生产金属油墨的颜料,是由 金属或合金的颗粒... 真空电镀金属颜料(Vacuum Metallized Pigments,简称VMP),通过特殊的真空电镀...
高州市18491887654: VMP SDK保护代码有什么用 - ?
里温普米: 处于VMPROTECTBEGIN VMPROTECTEND 里面的代码 会经过VMP的处理变成为由虚拟机识别的伪代码 主要防止逆向
高州市18491887654: 急急急急!vm pet的中文名字是什么?? - ?
里温普米: 聚酯镀铝膜(应用于零食及糖果等食品包装行业) VMPET 或:vitamin and mineral Performance Evaluation Test :维他命及矿物元素性能鉴定试验或:Veterinary Medicine Pet
高州市18491887654: syy.vmp.exe是什么进程 - ?
里温普米: 从vmp看.这个一个加壳程序.肯定不是系统的.一般这样的都是木马程序或蠕虫病毒.找到该文件,属性-查看一下.
高州市18491887654: 劳动经济学 边际生产力与真实工资的关系及其含义 - ?
里温普米:[答案] 边际生产力乘以产品价值等于边际生产值(P*MP=VMP),VMP是向下的曲线,因为生产力随人力递减. 工资是水平直线,因为是边际工资不变. 把上边的工资和VMP联系起来,企业会在边际生产值等于工资时生产 换句话说,公司要生产到再多加一个...
高州市18491887654: w=vmp式子中各个字母都是什么意思 - ?
里温普米: 边际产品价值(VMP):生产要素的边际产品MP和产品价格P的乘积.w是投入要素价格.
