VMProtect[VPM]脱壳工具NoVPM v1.0.5是一个将VMProtect x64 3.0-3.5(最新)虚拟化为优化的VTIL,并可以选择使用虚拟机翻译中间语言库重新编译回x64的项目.它颇具实验性,主要是我想发布的PoC.大多数事情都可以改进,尤其是可以使用新的NativeLifters存储库进行改进,但是在编写此文档时就不存在了
软件简介
| 软件名称 | NoVPM |
|---|---|
| 软件版本 | v1.0.5 |
| 软件类别 | 软件脱壳 |
| 适用平台 | Windows |
| 最近更新 | 2020.08.18 |
使用说明
NoVmp接受解压缩的二进制文件,因此,如果二进制文件已打包,则必须首先转储它,此外,如果确实使用Scylla之类的工具转储了二进制文件,则必须使用以下-base参数提供原始图像库:
-base 0x14000000
默认情况下,NoVmp将解析进入VM的每一次跳转,如果您只对许多特定的虚拟化例程感兴趣,则可以将-vms参数与相对虚拟地址一起使用,如下所示:
-vms 0x729B81 0x72521
默认情况下,节发现是自动的,但是如果您的呼叫没有被链接,则应尝试使用-sections以下所示方法将VMProtect节名称添加到节列表中:
-sections .xxx0 .yyy0
请注意,该.
此外,您可以使用以下任一开关:
- -noopt:禁用优化
- -opt:constant:优化VMProtect Ultra持续混淆
- -experimental:recompile:启用实验性x64编译器
已知错误
- VTIL-Core的已知问题,主要是缺少对跳转表的支持以及传播过程花费的时间太长/不够大,正在解决中
- 尚不完全支持使用剥离的重定位编译的二进制文件
- 实验性编译器是一个边界破烂的演示,与它有关的问题不应该提交,因为它会被重做并且将在VTIL-Core中使用
更新日志
- 禁用按例程的多线程,因为优化时按块的多线程将使CPU最大化
GitHub
GitHub项目地址:https://github.com/can1357/NoVmp