本文为看雪论坛优秀文章
看雪论坛作者ID:冰鸡
在很久很久以前,神奇的nooby有了个天才的想法,通过修改themida的引擎,使其强制输出了没有混淆和加密的程序,很轻松的就分析完了外壳逻辑和vm的逻辑,盖亚。
通过nooby的想法,我们也将vmp3.5.1的引擎进行了修改,使其强行输出了没有混淆和vm后的代码,便于我们分析外壳和handler的逻辑。
今天先来看看vmp的反调试原理,先将vmp配置成如下,避免其他功能的干扰。
int start(){if ( (unsigned int)sub_4F4664() == 1 )return mainCRTStartup();sub_4F44EC();return 0xDEADC0DE;}
第一步,先获取ntdll的版本信息。
还有就是直接syscall直接调用比较有效。
那么,剩下的贰之型·珠华弄月再说。
看雪ID:冰鸡
https://bbs.pediy.com/user-home-841912.htm
# 往期推荐
1.高级进程注入总结
球分享
球点赞
球在看
点击“阅读原文”,了解更多!
原文始发于微信公众号(看雪学苑):Vmprotect3.5.1 壹之型 — 暗月·宵之宫
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论