虛擬機保護已經是現代保護殼不可缺少的一環，雖然逆向方也發展出各種插件幫助分析，但只針對特定某款，通用性的方法卻不多見。我總在想，既然虛擬機的結構是固定的，如果有一款工具能夠記錄指令流，那么按圖索驥，也許能發展出一套通用的分析方法來。其實OD就有記錄指令流的功能，叫跟蹤（trace），也許是效果不好或者操作不便，用的人甚至知道的人不多。先介紹下怎么用。
最后是找這次執行虛擬機用到的handle。這個不難，虛擬機入口地址之后的代碼段除了init和dispatch，其它都是handle，所有執行過的handle都會在里面出現。當然了，某條handle的具體作用，以及沒有執行過的handle，就只能靠人肉分析了。還有就是，就分析虛擬機保護來說，了解執行了哪些handle，以及哪些handle更常用，這些信息都是十分有用的。