VMProtect是一種很可靠的工具，可以保護應用程序代碼免受分析和破解，但只有在應用程序內保護機制正確構建且沒有可能破壞整個保護的嚴重錯誤的情況下，才能實現最好的效果。

【下載VMProtect最新試用版】

小編大家整理了大佬們的使用技巧和經驗與大家分享，希望能夠幫助你解決實際運用中遇到的問題。本文接著介紹關于反匯編引擎。

Decode_SetReg函數分析

一共有3組，每組0x17個字節，包含結尾表示0xFFFFFFFF,這些都是保存目標操作數或則源操作數信息的

v6 = (v9 >> 3) & 7;首先v9=0x74，繼續我們的查表

轉換成二進制如下：0x74=??01 110 100?

很明顯v6=ModRM.reg（Esi）?

分析Decode_ModRM結構

首先解析ModRm判斷尋址模式?

首先先將ModRM轉換下?

轉換成二進制如下：0x74=??01 110 100??

0x40=01,0x80=10,0xC0=11以此類推

判斷是否需要SIB尋址方式

R/M==8（100），只有ModRM.mod尋址模式是11（寄存器是不帶SIB的）.第一種這里是ModRM.mod 提供尋址模式: 11 = register（寄存器）。直接保存ModRM.r/m

第二種情況存在SIB尋址方式。根據上文找到的地址發現是[--][--]”,表示有SIB表。SIB結構如下：

轉換成2進制如下：0x24=?00101100?

1. 讀取SIB字節
2. ((unsigned __int8)v10 >> 3) & 7; // SIB.index 提供 index 寄存器尋址
3. v9->SIB_base = SIB & 7; // SIB.base 提供 base 寄存器尋址
4. if ( v9->ModRM_Reg_Or_SIB_index_Or_ModRM_rm == 4 )// SIB.index 提供 index 寄存器尋址是否是none 4 = (100)
5. 假設index寄存器！=4就保存SIB.scale 提供 index 寄存器乘數因子 scale
6. 判斷SIB.base 提供 base 寄存器尋址是否是[*] 5 = (101)

最后讀取Displacement_Immediate?

還有一些Opcode需要ModRM進行補充的。單純的一個FF無法表達它到底是CALL、INC、jmp、push需要ModRm輔助的，具體看ModRm.Reg

Vmp_Disassembly使用的結構體如下，所有解析后的數據都保存在struc_SaveAllDisasmFunData結構里面