-
-
[讨论]如何躲开VMP对VM代码完整性的随机效验
-
发表于:
2008-12-3 13:21
8521
-
我跟踪了一个VMP1.6x加的程序,修改了2处VM的代码,修改获得下一段PCode的起始地址的代码时,程序每次都跳走了。而只修改VM的新的PCode段入口处的代码时,是随即的有效验,有时候程序会跳走。
根据这个结果,觉得VMP对VM代码的效验应该有2种。一种是每次都效验,另一种是随机效验。我的想法是,VM是怎么确定这个随机值的,就是VMP怎么确定这次应该效验VM的代码。个人觉得,单纯的使用PCode是无法生成一个rand函数的,VC的rand函数是线程相关的,而且依赖于一些线程相关的API。
大家说说,VMP可能使用什么随即函数,rand,time,tickcount?
[注意]看雪招聘,专注安全领域的专业人才平台!
