vcasm的vprotector程序中使用的多进程（Process）反跟踪技术很有新意，反跟踪技术中比较常见的是多线程（Thread）技术。我以前见到的多进程主要是使用一个进程调试另一个进程。这种方式只能认为是调试反跟踪，不能称为真正的多进程反跟踪技术。而vcasm的方法本人认为是真正意义上的多进程反跟踪技术。这里简单说明一下。
要想利用多进程，必须处理好多个进程之间的数据交换问题和进程同步问题。如果各进程之间没有数据交换就不成其为多进程技术了，谈到进程间的数据交换，我们首先想到的是动态连接库（dll），但vcasm采用了一种更为简便的方法。下面就说说这种方法。
在谈vcasm的数据交换的方法之前先看几个API函数。
CreateFileMapping函数用来生成一个内存文件映射对象，函数定义如下
HANDLE CreateFileMapping(
  HANDLE hFile,              // 映射文件句柄
  LPSECURITY_ATTRIBUTES lpFileMappingAttributes,
                             // 安全属性
  DWORD flProtect,           // 对象的保护属性
  DWORD dwMaximumSizeHigh,   // 对象大小高32位
  DWORD dwMaximumSizeLow,    //对象大小第32位e
  LPCTSTR lpName             // 文件映射对象名
);
当hFile=（HANDLE）-1时得到的不是实际文件的映射对象，而是一个操作系统分页文件返回的一个特定大小的内存块对象。这个内存块对象可以被多个进程用对象名进行操作。这就是说，可以用它来交换数据了。判断这个对象是否存在呢？这又要用到一个函数。
DWORD GetLastError(VOID)
当返回值等于ERROR_ALREADY_EXISTS时则说明这个对象已经存在了。
好了，下面就用程序实际说明一下，vcasm的程序比较复杂，我并没按原程序写代码，而是简化成了一段说明方法的代码，目的只想说明一下这种方法。线程同步的代码这里就不写了,
有兴趣自己逆向一下。

        GetModuleFileName(0,lpFilename,0x200); //取得文件名
   然后将文件名加以变动作为mapview的名
for(i=0;i<0x200;i++)
        {
        //        将文件名中的\变成-
                if(*(char*)(lpFilename+i)==0x5c)*(char*)(lpFilename+i)=0x2d;
        }
mHandle=CreateFileMapping((HANDLE)-1,0,PAGE_READWRITE,0,0x400,lpFilename);
GetLastError()必须紧跟在后面,如果中间还有其他的api,他返回的就不知道是什么了.
if(GetLastError()!=ERROR_ALREADY_EXISTS)
        {
                mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum=0;                                        //初始化累加值
        }
        else
        {
                mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum+=1;                                        //累加值+1
        }

         if(*sum>5)     //大于5次就该结束了
         {
                 MessageBox(0,"yes","ok",0);
                 UnmapViewOfFile(mapview);   打开的fileview可以不要了
                 CloseHandle(mHandle);        handle也可以关掉了
         }
         else
         {
                还没到五次,再开一个进程
          CreateProcess(0,GetCommandLine(),0,0,0,0,0,0,&StartupInfo,&ProcessInformation);
         }
         Sleep(50);    将执行权交出去,休息一下
         ExitProcess(0);  其他的进程已经打开了,本进程就可以关掉了.

vc++的代码如下：
#include "stdafx.h"

int APIENTRY WinMain(HINSTANCE hInstance,
                     HINSTANCE hPrevInstance,
                     LPSTR     lpCmdLine,
                     int       nCmdShow)
{
       
        DWORD i;
        LPVOID mapview;
        HANDLE mHandle;
        PCHAR  sum;
        LPTSTR lpFilename=(LPTSTR)malloc(0x200);
        STARTUPINFO StartupInfo;
        StartupInfo.cb=sizeof(STARTUPINFO);
        PROCESS_INFORMATION ProcessInformation;  
        GetModuleFileName(0,lpFilename,0x200); //取得文件名
        GetStartupInfo(&StartupInfo); //填写StartupInfo结构
    for(i=0;i<0x200;i++)
        {
        //        将文件名中的\变成-
                if(*(char*)(lpFilename+i)==0x5c)*(char*)(lpFilename+i)=0x2d;
        }
    mHandle=CreateFileMapping((HANDLE)-1,0,PAGE_READWRITE,0,0x400,lpFilename);
        if(GetLastError()!=ERROR_ALREADY_EXISTS)
        {
                mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum=0;                                        //初始化累加值
        }
        else
        {
                mapview=MapViewOfFile(mHandle,FILE_MAP_ALL_ACCESS,0,0,0); //提交物理内存
        sum =(char*)((char*)mapview+0x3ff);
        *sum+=1;                                        //累加值+1
        }

         if(*sum>5)
         {
                 MessageBox(0,"yes","ok",0);
                 UnmapViewOfFile(mapview);
                 CloseHandle(mHandle);
         }
         else
         {
               
          CreateProcess(0,GetCommandLine(),0,0,0,0,0,0,&StartupInfo,&ProcessInformation);
         }
         Sleep(0);
         ExitProcess(0);

        return 0;
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课