一種快速過VMP3.x偵錯程式虛擬機器檢測的方法
VMP3.x 以上的版本的殼程式碼引入了一個標誌位數值 Flags, 根據這個Flags值的位執行對應的事情。
比如:
and 2 = 2 表示檢測使用者層偵錯程式
and 4 = 4 表示檢測核心偵錯程式
and 10 = 10 表示檢測虛擬機器
只要將這個值修改為0,偵錯程式和虛擬機器檢測甚至記憶體校驗,檔案校驗都直接bypass。( ps: 寫了這麼多殼程式碼就這麼簡單就過了:)
那麼現在的問題是如何快速定位到這個值。這裡介紹一種比較簡單快速的方法,測試了幾個程式都有效。
如下圖:
1. 首先下斷點到LocalAlloc
2. 中斷下來後,在資料視窗CTRL+G輸入ESP, 然後從這個地址開始搜尋 當前模組載入基地址 如這裡的 011C0000
不過這裡為了保險,防止搜尋到多個結果,應該搜尋 模組預設載入基地址 + 模組當前載入基地址 組合起來的8個位元組
如圖中的: 00400000 + 011C0000
3. 找到後修改下面的那個值為0即可, 如圖中箭頭所指。
本文由看雪論壇 hkfans 原創
轉載請註明來自看雪社群
相關文章
- JavaScript 偵測手機瀏覽器的五種方法JavaScript瀏覽器
- 深入理解python虛擬機器:偵錯程式實現原理與原始碼分析Python虛擬機原始碼
- 快速批量檢查所有虛擬機器的各項指標虛擬機指標
- 反除錯&反反除錯 -- 利用sysctl檢測偵錯程式是否存在除錯
- VMware虛擬機器三種聯網方法及原理虛擬機
- VMware虛擬機器優化,提高虛擬機器執行速度的方法?虛擬機優化
- ovftool匯出虛擬機器報錯處理過程!虛擬機
- Dalvik虛擬機器、Java虛擬機器與ART虛擬機器虛擬機Java
- 親測好用的虛擬機器軟體:vm虛擬機器 mac中文版虛擬機Mac
- 虛擬機器去虛擬化過魯大師教程虛擬機
- VM 虛擬機器linux從主機複製檔案到虛擬機器錯誤虛擬機Linux
- JVM程式計數器,虛擬機器棧,本地方法棧JVM虛擬機
- 效率工具 | 快速建立虛擬機器,Vagrant真香!虛擬機
- java虛擬機器和Dalvik虛擬機器Java虛擬機
- Android 虛擬機器 Vs Java 虛擬機器Android虛擬機Java
- windows上使用官方的虛擬機器的方法Windows虛擬機
- 通過Virtualbox搭載虛擬機器虛擬機
- VMware 虛擬機器一鍵去虛擬化工具虛擬機
- 虛擬機器快速搭建弱網測試環境 ATC (適合新手)虛擬機
- 虛擬機器的概念虛擬機
- 虛擬機器的克隆虛擬機
- 虛擬機器的搭建虛擬機
- 虛擬機器(三)虛擬機器配置靜態Ip虛擬機
- Java虛擬機器啟動過程解析Java虛擬機
- 弄清Java虛擬機器GC的執行過程Java虛擬機GC
- 一、虛擬機器環境配置虛擬機
- VirtualBox虛擬機器U盤啟動方法虛擬機
- LOL虛擬機器 最新測試可玩虛擬機
- PD虛擬機器 18 for Mac(Mac虛擬機器軟體)虛擬機Mac
- 將u盤從虛擬機器切回到主機的方法虛擬機
- 將虛擬機器IP與主機IP設定在同一網段的方法虛擬機
- ABAP report的遞迴submit和在虛擬機器裡再次啟動另一個虛擬機器遞迴MIT虛擬機
- 深圳市恆訊科技分享:apache配置多ip虛擬機器的2種方法Apache虛擬機
- 憑什麼別的虛擬機器叫虛擬機器,Python的叫直譯器?虛擬機Python
- Linux虛擬化平臺檢測Linux
- 另一個Swoole偵錯程式 - Yasd
- vmware開啟虛擬機器就藍屏重啟 vmware虛擬機器藍屏解決方法虛擬機
- JVM 虛擬機器JVM虛擬機