一种快速过VMP3.x调试器虚拟机检测的方法

逆向破解hacker2018-09-04 19:34:4023455A⁺A^-

"VMP3.x 左右的版本号的壳编码导入了1个标志位标值 Flags, 依据这一Flags值的位实行相匹配的事儿。

例如：

little 2 = 2 表达检验客户层调试器

little 4 = 4 表达检验内核调试器

little 12 = 12 表达检验虚拟机

要是将这一值改动为0，调试器和虚拟机检验以至于运行内存校检,文档校检都立即bypass. ( Ps: 写了那么多壳编码就那么简单就已过：）

那麼如今的难题是怎么才能精准定位到这一值。这儿详细介绍这种非常简单迅速的方式，检测了好多个程序流程都合理。

给出图:

1. 最先下断点到LocalAlloc

2. 终断出来后，在统计数据对话框CTRL+G键入ESP, 随后从这一详细地址刚开始检索当今控制模块载入基地址如这儿的 011C0000

只有这儿以便商业保险，避免检索到好几个結果，应当检索控制模块默认设置载入基地址 + 控制模块当今载入基地址组成起來的8个字节数

如图所示中的： 00400000 + 011C0000

3. 寻找后改动下边的哪个数值0只能，如图所示中箭头符号特指。

创作者：hkfans"

一种快速过VMP3.x调试器虚拟机检测的方法第1张

点击这里复制本文地址以上内容由黑资讯整理呈现，请务必在转载分享时注明本文地址！如对内容有疑问，请联系我们，谢谢！

余安夙世2022-05-28 07:20:13
都合理。给出图: 1. 最先下断点到LocalAlloc 2. 终断出来后，在统计数据对话框CTRL+G键入ESP, 随后从这一详细地址刚开始检索当今控制模块载入基地址如这儿

北槐蔚落2022-05-28 06:00:20
"VMP3.x 左右的版本号的壳编码导入了1个标志位标值 Flags, 依据这一Flags值的位实行相匹配的事儿。例如： little 2 = 2 表达检验客户层调试器 little 4 = 4 表达检验内

寻妄寻倌2022-05-28 09:45:48
表达检验内核调试器 little 12 = 12 表达检验虚拟机要是将这一值改动为0，调试器和虚拟机检验以至于运行内存校检,文档校检都立即bypass. ( Ps: 写了那么多壳编码就那么简单就已过：）那麼如今的难题是怎么才能精准