[分享]VMP 3.8.4 替换Hwid 思路-软件逆向-看雪-安全社区|安全招聘|kanxue.com

TianYi000

2025-5-18 17:31

2447

VMP 3.8.4 替换Hwid 思路

思路

VMProtectGetCurrentHWID

通过分析vmp泄露源码得知Hwid的组成部分图下所示

使用sha1计算每组结果取前4个字节组合后使用RC5加密算法随机密钥进行存储，调用此函数组合后使用Base64呈现。

GetComputerNameW

图上部分函数编译后会被虚拟化，不过我们可以找到切入点函数GetComputerNameW

在切入GetComputerNameW根据内存堆栈进行替换Hwid

实现

编译成品使用OllyDbg进行调试

断下 GetComputerNameW 后观察堆栈，注意不要在函数头部下断点。

[ebp+0x8]+0x8 即 hwid加密结果存放结构体指针。

此时并没有完全写入，只计算了cpuid部分

那么此时可以来到函数返回下断，注意不要在函数头部下断点。

收藏・19

免费・4

支持

最新回复 (4)
romobin 雪币： 9113 活跃值： (5969) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 264 粉丝 50 关注私信	romobin 2 楼好文, 学习了 2025-5-18 17:39 0
小小童话雪币： 15 活跃值： (432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	小小童话 3 楼牛逼 ,有空复现试一下 2025-5-19 00:40 0
Yecate 雪币： 130 活跃值： (3463) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 6 关注私信	Yecate 4 楼大佬厉害 2025-5-19 21:36 0
快乐么么雪币： 231 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	快乐么么 5 楼好插件，先下载保存一下！ 2025-5-20 15:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

TianYi000

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (4)
romobin 雪币： 9113 活跃值： (5969) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 264 粉丝 50 关注私信	romobin 2 楼好文, 学习了 2025-5-18 17:39 0
小小童话雪币： 15 活跃值： (432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	小小童话 3 楼牛逼 ,有空复现试一下 2025-5-19 00:40 0
Yecate 雪币： 130 活跃值： (3463) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 6 关注私信	Yecate 4 楼大佬厉害 2025-5-19 21:36 0
快乐么么雪币： 231 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	快乐么么 5 楼好插件，先下载保存一下！ 2025-5-20 15:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复