遇到VMP!(1)

百度上随便搜了一个外挂,想分析一下,很不幸,好像是VMP的壳!随便搜的外挂

试试OD载入,发现载入不了,看雪上搜了一下,原因找到了

遇到VMP!(1)_第1张图片

可以看到,函数数量和函数名数量都是1,但是其实并没有输出函数,把这两个值改为0,就能用OD载入了。(这也是一个anti的思路)

用OD载入

遇到VMP!(1)_第2张图片

然后发现不管怎么走,都会被发现调试器,很郁闷,看雪上继续搜一下,原来是TLS在作怪,看一下文件的TLS表

遇到VMP!(1)_第3张图片

果然是有TLS表。。。跟进去看看吧,地址是4CC006保存的地址,值是4CD695,来到4CD695处遇到VMP!(1)_第4张图片

我囧了,直接进虚拟机啊。。。太狠了,郁闷了,不弄了,哎。。

你可能感兴趣的:(VM)