VMProtect是一種很可靠的工具，可以保護應用程序代碼免受分析和破解，但只有在應用程序內保護機制正確構建且沒有可能破壞整個保護的嚴重錯誤的情況下，才能實現最好的效果。

【下載VMProtect最新試用版】

小編大家整理了大佬們的使用技巧和經驗與大家分享，希望能夠幫助你解決實際運用中遇到的問題。本文接著介紹關于反匯編引擎。

第四章：Handle塊優化與殼模板初始化 

根據前面符合Jmp Handle滿足條件的Number_1作為循環因子

1. 經過前面篩選Number_1=0XCC，一般HandleX與ESI_Matching_Array都是一一對應，大小都是0xCC
   
   
2. 只是設置的基本的Mod信息跟VmpOpcode=0x23
   
3. new出來的struct_VmFunctionAddr結構只是設置了助記符=0xB
   
4. 強行擴充到0xFF大小，不足的new struc_SavePartDisasmFunData和struct_VmFunctionAddr結構，具體作用不明
   

將不符合條件的struc_SaveAllDisasmFunData和struc_SavePartDisasmFunData1從數組中刪除

1. 專門找ESIResults[X] == 0的
   
2. ESIResults[X]與v7->Esi_Addr[4 * X]一一對應
   
3. 找到VmpOpcode值是：0~9、0xC則退出，符合條件的基本上是：Jmp VMDispatcher找到后把該數組元素刪除
   
4. 清零v7->Esi_Addr[4 * X] = 0
   
5. 看了一圈基本上是把整個HandleX解析信息的都刪除，jmp XXXX標志結束
   
6. 未被刪除的如下：
   
   

總結

1. ESIResults[X]與v7->Esi_Addr[4 * X]一一對應
   
2. ESIResults[X]==0，那么取對應的v7->Esi_Addr[4 * X]數組內容（struc_SaveAllDisasmFunData結構體）
   
3. struc_SaveAllDisasmFunData與struc_SavePartDisasmFunData1數組里刪除該HandleX信息
   
4. 判斷到jmp XXXX為結束點，也就是整個Handle解析的信息都清除掉
   
   
5. ESIResults[X]==0就是不使用的了
   

隨機數填充struct_VmpOpcodePY_80結構

sub_49FB90函數分析：

sub_49F958函數分析：

1. 通過隨機數取word_4EE0D8數組的下標，符合條件的跳到賦值的地方
   
2. 退出條件是：要Add添加幾組元素由Constant（參數2）決定，外加一句RandInt（1），百分之50%幾率再來一次
   
   
3. 它們使用的結構如下：
   
   

總結

1. 變形總結對照
   RandomWord_4EE0EC是對add al,bl的變形
   RandomWord_4EE0D8是對add bl,al的變形
   
   
2. 填充這些數據到底怎么使用？
   
3. struc_47數據使用。我們發現執行完畢后一共有6組
   
   • 第一組：
     struc_47->RandomWord_4EE0D8=0x29 ->inc
     struc_47->AddrRandomBuff=0x1
   • 第二組：
     struc_47->struc_47->RandomWord_4EE0D8=0x43 ->rol
     struc_47->struc_47->AddrRandomBuff=0x5
   • 第三組：
     struc_47->struc_47->RandomWord_4EE0D8=0x5C ->not
     struc_47->AddrRandomBuff=0x5
   • 第四組：
     struc_47->RandomWord_4EE0D8=0x34 ->sub
     struc_47->AddrRandomBuff=0xB0
   • 第五組：
     struc_47->struc_47->RandomWord_4EE0D8=0x5C ->;not
     struc_47->AddrRandomBuff=0x0
   • 第六組：
     struc_47->RandomWord_4EE0D8=0x05 ->xor
     struc_47->struc_47->AddrRandomBuff=0x7A
   剛好對應以下6句，因為1、3、5是單操作數所以struc_47->AddrRandomBuff不使用
   
4. struct_VmpOpcodePY_80->RandomWord_4EE0EC使用
   
   • 第一種RandomWord_4EE0EC=0x4，注意看405069跟40507B這兩句是add
     
   • 第二種RandomWord_4EE0EC=0x34，注意看405069跟40507B這兩句是sub
     
   • 第三種RandomWord_4EE0EC=0x5，注意看405069跟40507B這兩句是xor