NoVmp 由VTIL支持的VMProtect x64 3.x的静态虚拟化程序。 VMProtect? 没有。 NoVmp是一个将VMProtect x64 3.0-3.5(最新)化为优化的VTIL,并可以选择使用库重新编译回x64的项目。 它颇具实验性,主要是我想发布的PoC。 大多数事情都可以改进,尤其是使用新的NativeLifters存储库,但在编写该文档时就不存在了。 用法 NoVmp接受解压缩的二进制文件,因此,如果二进制文件已打包,则必须先转储,另外,如果使用Scylla之类的工具转储了二进制文件,则必须使用-base参数提供原始图像库,如下所示: -base 0x14000000 默认情况下,NoVmp将解析进入VM的每一次跳转,如果您仅对许多特定的虚拟化例程感兴趣,则可以将-vms参数与相对虚拟地址一起使用, -vms : -vms 0x729B81 0x725