百度上随便搜了一个外挂,想分析一下,很不幸,好像是VMP的壳!随便搜的外挂
试试OD载入,发现载入不了,看雪上搜了一下,原因找到了
可以看到,函数数量和函数名数量都是1,但是其实并没有输出函数,把这两个值改为0,就能用OD载入了。(这也是一个anti的思路)
用OD载入
然后发现不管怎么走,都会被发现调试器,很郁闷,看雪上继续搜一下,原来是TLS在作怪,看一下文件的TLS表
果然是有TLS表。。。跟进去看看吧,地址是4CC006保存的地址,值是4CD695,来到4CD695处
我囧了,直接进虚拟机啊。。。太狠了,郁闷了,不弄了,哎。。