本文为看雪论坛优秀文章

看雪论坛作者ID：冰鸡

在很久很久以前，神奇的nooby有了个天才的想法，通过修改themida的引擎，使其强制输出了没有混淆和加密的程序，很轻松的就分析完了外壳逻辑和vm的逻辑，盖亚。

通过nooby的想法，我们也将vmp3.5.1的引擎进行了修改，使其强行输出了没有混淆和vm后的代码，便于我们分析外壳和handler的逻辑。

今天先来看看vmp的反调试原理，先将vmp配置成如下，避免其他功能的干扰。

int start(){if ( (unsigned int)sub_4F4664() == 1 )return mainCRTStartup();  sub_4F44EC();return 0xDEADC0DE;}

那么，剩下的贰之型·珠华弄月再说。