VM逆向，一篇就够了（下）

接着上一篇文章（https://bbs.kanxue.com/thread-281119.htm），我们继续了解一些不一样vm。一实战三d3sky这一题需要了解一些TLS相关知识。TLS回调函数TLS（Thread Local Storage，线程局部存储）是各线程的独立的存储空间，TLS回调函数是指，每当创建或终止进程的线程时会自动调用执行的函数，且调用执行优先于EP代码，该特征使它可以作为一种反调试技术使用。为什么要讲这东西呢，因为一开始分析main函数时感觉静态分析比较吃力就想着动态调试分析一下，然后就停在了这里,这是触发了一个访问异常，sub_4C1050是由线程回调函数（TlsCallback_0）调用的。指令在尝试读取地址0x00处的数据，导致程序不能正常长运行。汇编页面长这个样子：圈起来的那里是判断程序是否处于调试状态，如果是调试状态则执行下面的mov ecx,[eax]指令。如果不是处于调试状态则走另一个分 ………………………………