最近十一想着不要浪费, 就顺着敲敲NewBluePill的代码吧. 脱壳的话, 又没有什么进展, 表面那层壳好拖, 随便找个脚本就完事了. 自己手工脱也很快, 但是想还原壳的代码, 是一个非常恶心的工作. 要放长线… NewBluePill这边的话结构非常的清晰,而且代码写的很好. 牛人就是牛人. NewBluePill关于VT方面的东西有价值, 但是我觉得这个代码最牛的地方在于内存隐藏方面, 但是这个代码没有公布出来. 我倒.

想要实现一个最简单的VT其实并不需要做太多的工作, 和Win32创建窗口差不多, 注册下. 完了就创建. 跑起来. NewBluePill并没有使用Windows自身的打印系统,而是自己另外写了一个驱动. 于淼(miao)在他的书中说NewBluePill如果采用Windows下的DbgPrint的打印的话, 单着单着就蓝了.. 不知道是不 是真的, 我条件简陋搭建不了运行NewBluePill的环境, 只能没事的时候YY一下, 所以我早就想整下这玩意了..

自己动手丰衣足食, 基本上前期写就照抄NewBluePill了. 希望作者不会告我.. 完了等写完之后, 感觉还可以. 再看看HyperDbg看看能不能打捞点什么出 来, 组合下. 也就是一个VT调试器了.. 呵呵..

柿子还是找软的捏, nbp这个打印系统最简单, 就从他开始.. 这个打印系统的话, 我把nbp中的调用端给扣出来了.加了注释, 就不说了. 上代码就可以. 代码我看了看, 打印端和调用端差不多1000多行, 挂这里也不合适. 上传下吧..

DebugPrint.rar

 

额, 挺好…