一種快速過VMP3.x偵錯程式虛擬機器檢測的方法
VMP3.x 以上的版本的殼程式碼引入了一個標誌位數值 Flags, 根據這個Flags值的位執行對應的事情。
比如:
and 2 = 2 表示檢測使用者層偵錯程式
and 4 = 4 表示檢測核心偵錯程式
and 10 = 10 表示檢測虛擬機器
只要將這個值修改為0,偵錯程式和虛擬機器檢測甚至記憶體校驗,檔案校驗都直接bypass。( ps: 寫了這麼多殼程式碼就這麼簡單就過了:)
那麼現在的問題是如何快速定位到這個值。這裡介紹一種比較簡單快速的方法,測試了幾個程式都有效。
如下圖:
1. 首先下斷點到LocalAlloc
2. 中斷下來後,在資料視窗CTRL+G輸入ESP, 然後從這個地址開始搜尋 當前模組載入基地址 如這裡的 011C0000
不過這裡為了保險,防止搜尋到多個結果,應該搜尋 模組預設載入基地址 + 模組當前載入基地址 組合起來的8個位元組
如圖中的: 00400000 + 011C0000
3. 找到後修改下面的那個值為0即可, 如圖中箭頭所指。
本文由看雪論壇 hkfans 原創
轉載請註明來自看雪社群
相關文章
- 虛擬機器與偵錯程式的討論虛擬機
- 虛擬機器快速搭建 Android 包分析檢測工具虛擬機Android
- JavaScript 偵測手機瀏覽器的五種方法JavaScript瀏覽器
- VC++檢測VM、VPC虛擬機器程式碼 .C++虛擬機
- VC++檢測VM、VPC虛擬機器程式碼C++虛擬機
- 虛擬機器檢測技術攻防虛擬機
- 深入理解python虛擬機器:偵錯程式實現原理與原始碼分析Python虛擬機原始碼
- 理解及快速測定 Azure 虛擬機器的磁碟效能虛擬機
- 快速批量檢查所有虛擬機器的各項指標虛擬機指標
- 虛擬機器入門二,虛擬機器的三種網路模式虛擬機模式
- 怎樣檢視虛擬機器裡面的程式!虛擬機
- 虛擬機器VMware“內部錯誤”的解決方法虛擬機
- VMware虛擬機器三種聯網方法及原理虛擬機
- VMware虛擬機器優化,提高虛擬機器執行速度的方法?虛擬機優化
- 關於VMware虛擬機器磁碟收縮的幾種方法虛擬機
- 除錯,虛擬環境檢測試的一些新想法除錯
- ovftool匯出虛擬機器報錯處理過程!虛擬機
- 反除錯&反反除錯 -- 利用sysctl檢測偵錯程式是否存在除錯
- Dalvik虛擬機器、Java虛擬機器與ART虛擬機器虛擬機Java
- 親測好用的虛擬機器軟體:vm虛擬機器 mac中文版虛擬機Mac
- 虛擬主機伺服器錯誤404解決方法伺服器
- 虛擬機器去虛擬化過魯大師教程虛擬機
- 效率工具 | 快速建立虛擬機器,Vagrant真香!虛擬機
- KVM宿主機上檢視虛擬機器ip虛擬機
- 配置虛擬機器網路的三種方式虛擬機
- JVM程式計數器,虛擬機器棧,本地方法棧JVM虛擬機
- VMware 虛擬機器一鍵去虛擬化工具虛擬機
- 主機和虛擬機器的三種通訊方式虛擬機
- 禁止VMware虛擬機器開機程式虛擬機
- java虛擬機器和Dalvik虛擬機器Java虛擬機
- Android 虛擬機器 Vs Java 虛擬機器Android虛擬機Java
- Java虛擬機器類載入的過程Java虛擬機
- 用虛擬機器做RAC的全過程虛擬機
- 虛擬機器快速搭建弱網測試環境 ATC (適合新手)虛擬機
- (轉)介紹三種vmware虛擬機器網路設定方法虛擬機
- 虛擬機器虛擬機
- VMware虛擬機器網路配置的三種模式虛擬機模式
- Win9x下虛擬光碟機的檢測 (轉)