Tags：编译器 脱壳软件

VMProtect是一款非常流行的程序加壳退壳工具，VMProtect新一代的软件保护系统，将保护后的代码放到虚拟机中运行，这将使分析反编译后的代码和破解变得极为困难。使用MAP文件或内建的反编译引擎，可以快速选择需要保护的代码。

VMProtect 功能特色

过黑名单

去除主程序水印及加壳后文件的水印

去除主程序壳段的垃圾，对VM有兴趣的可以分析下这个主程序

有个隐藏功能，等待大家自己去挖掘。

可以分析VM的基本信息，包括解析VM入口信息及handler名，大致是阉割版fkvmp(无解析流程功能)

可以自动脱壳vmprotect保护的壳，包括IAT，资源保护，heap antidump等

脱壳后，需用UIF跟REC修复，才能实现跨平台。

其他具体的操作看演示视频。

如何使用

如何使用VMProtect使用"File"-"Open"菜单项加载工程。添加负责检查工程密码是否正确的程序：

VMProtect能根据所选的编译类型以不同的方式处理被保护的代码。

在处理器命令的程度上修改了执行文件（修改了现有的命令，添加了所有类型的垃圾命令等）。该编译类型无法充分地保护代码。它只能避免破解、解析以及避免进行中的功能由签名解析器确定（PEiD+KANAL、IDA+FLIRT等）。作为固定规则，我们并不需要保护库功能不受破解以及解析，只需要更改它们的签名就足够保护在您应用程序中应用的库（对破解与解析的保护程度不高，代码的执行率很高）。

虚拟化

可执行代码被转化为由虚拟机执行的bytecode。 该编译类型应该应用到所有执行率非常重要的代码的关键部分以防止破解与解析（对破解与解析的保护程度中等，代码的执行率中等）。

mutation+虚拟化

以处理器命令的程度修改可执行代码，然后将它转化为由虚拟机执行的bytecode。该编译类型应该应用到执行率不重要的代码（对破解与解析的保护程度高，代码的执行率低）。

调试模式

用来确认外部地址，寻找外部代码参考的地址。

隐藏衡量

如果启用该选项，就不能在打开的表格中找到变量地址或调用的功能。

动态创建在线命令

VM解释程序不能执行所有的Intel 8086命令，这就是为什么这些命令会以它们在保护部分中展现的形式执行的原因。动态创建在线命令同样让针对bytecode的破解变得艰难。

检查VM对象的完整性

当执行程序的时候，VM解释程序会自动读取当执行命令时被运用的程序、bytecode以及水印中任意部分的检查结果。VM对象的完整性检查可保护解释程序、bytecode以及水印免遭修改。

水印

选择您希望内置到被保护文件中的水印。

项目名称

能为即将被写入VM解释程序与bytecode的新项目指定名称

移除fixup元素（只针对EXE文件)

编译程序（尤其象Delphi）会为EXE文件创建一个fixup元素列表。当加载EXE文件时，操作系统不会使用这些元素。如果您启用该选项，VM将使用被fixup元素列表所包含的部分。

在指定完所有必要的选项后，开始编译工程。在编译完成后，在工程文件（例如，TEST.EXE）旁边会创建一个新文件（例如，TEST.VMP.EXE）。指定的程序将在虚拟机的该文件中运行。