VMP3.x 以上的版本的殼代碼引入了一個標志位數值 Flags, 根據這個Flags值的位執行對應的事情。
比如:
and 2 = 2 表示檢測用戶層調試器
and 4 = 4 表示檢測內核調試器
and 10 = 10 表示檢測虛擬機
只要將這個值修改為0,調試器和虛擬機檢測甚至內存校驗,文件校驗都直接bypass. ( ps: 寫了這么多殼代碼就這么簡單就過了:)
那么現在的問題是如何快速定位到這個值。這里介紹一種比較簡單快速的方法,測試了幾個程序都有效。
如下圖:
1. 首先下斷點到LocalAlloc
2. 中斷下來后,在數據窗口CTRL+G輸入ESP, 然后從這個地址開始搜索 當前模塊加載基地址 如這里的 011C0000
不過這里為了保險,防止搜索到多個結果,應該搜索 模塊默認加載基地址 + 模塊當前加載基地址 組合起來的8個字節
如圖中的: 00400000 + 011C0000
3. 找到后修改下面的那個值為0即可, 如圖中箭頭所指。