VPM 脱壳方法与脚本（1）

zainv673799

工作需要要脱一个VMP壳，我是一个从来没接触过脱壳的人。瞬间那种心情遇到的人应该都知道！没办法硬着头皮找教程，尝试脱壳下面是我的脱壳过程希望大牛多多指正！
1、准备工具，FEID（查壳工具）、DIE（查壳工具）、LordPE（dump工具）、ImpRec（IAT修复工具）、UIF（IAT修复工具）、CFF（文件优化工具）、OD（吾爱破解专版 调试工具）
2、查壳 PEID

区段显示是vmp1，看来是VMP壳编写语言还是不能确定上DIE

显示编程语言是VC++的，VMP壳
3、开OD准备脱壳、OD设置如下

打开进程到入口看下

4、跑OEP
啥也卡不懂，不过没关系知道是VMP壳就好办，直接CTRL+G  输入 VirtualProtect 下断 如下图（如果提示未知，先在内存窗口找到 kernel32.dll代码段 进去后在转到就到了）

F9跑起来，这是会段下

注意NewProtect 这项 等于 PAGE_READONLY 是停下，否则一直F9 按慢点别跑飞了

到0401000处看看，代码是否已经解码

已经解码， 搜索特征码 EB0B85F375078BC6C1E0100BF0

这是OEP第一个CALL的尾部，根据他找到OEP

OEP 就是 00a6f7c8，不过这才是第一步 这时候DUMP 是没用的 因为VMP加密了IAT 我们需要还原他