背景
拿到一个样本,加的vmp2.13.8,反手就是回收站,结束。
分析
但是想了想,还是先看看有没有什么有意思的字符串可以玩玩,丢进x32dbg。
我寻思我也开了插件啊
那怎么会被发现呢?简单的自己加了vmp2和vmp3试试,发现vmp2比vmp3tls,说不定tls里面先对oep(0xcc)进行了crc校验,从而导致调试器被发现,这里关闭掉入口断点
程序正常跑起来了,结束,右键回收站。
拿到一个样本,加的vmp2.13.8,反手就是回收站,结束。
但是想了想,还是先看看有没有什么有意思的字符串可以玩玩,丢进x32dbg。
我寻思我也开了插件啊
那怎么会被发现呢?简单的自己加了vmp2和vmp3试试,发现vmp2比vmp3tls,说不定tls里面先对oep(0xcc)进行了crc校验,从而导致调试器被发现,这里关闭掉入口断点
程序正常跑起来了,结束,右键回收站。