遇到VMP！（1）

百度上随便搜了一个外挂，想分析一下，很不幸，好像是VMP的壳！随便搜的外挂

试试OD载入，发现载入不了，看雪上搜了一下，原因找到了

可以看到，函数数量和函数名数量都是1，但是其实并没有输出函数，把这两个值改为0，就能用OD载入了。（这也是一个anti的思路）

用OD载入

然后发现不管怎么走，都会被发现调试器，很郁闷，看雪上继续搜一下，原来是TLS在作怪，看一下文件的TLS表

果然是有TLS表。。。跟进去看看吧，地址是4CC006保存的地址，值是4CD695，来到4CD695处

我囧了，直接进虚拟机啊。。。太狠了，郁闷了，不弄了，哎。。