检测代码区校验和实现简易反调试

最新推荐文章于 2023-01-03 14:09:19 发布
最新推荐文章于 2023-01-03 14:09:19 发布
阅读量362 收藏 2
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kwansy/article/details/108331736
版权
通过创建线程实时检测代码区是否被修改,防止OD等调试器下断点,实现反调试策略。当代码区被改动,检测线程会强制结束进程。
摘要由CSDN通过智能技术生成

OD里下断点实际上是将代码改成int 3,又叫“CC中断”。基于这个原理,我们可以在程序中创建一个线程,实时检测代码区是否被修改,从而实现反OD下断点。

下面是代码演示:

// 校验和反调试.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
// 为了方便测试,请在链接器选项中关闭随机基址ASLR

#include <windows.h>
#include <stdio.h>

DWORD g_dwCheckSum = 0; // 校验和

DWORD WINAPI CheckThread(LPVOID lpvoid)
{
   
	printf("校验线程开始\n");
	while (1)
	{
   
		// 计算校验和
		DWORD dwBaseOfCode =
最低0.47元/天 解锁文章
hambaga
关注
智能农业设备软件工程师如何实现农业设备的故障恢复和自动修复
zhangzhechun的专栏
08-12 58
实现智能农业设备的故障恢复和自动修复是一个复杂的任务,涉及到软件和硬件的紧密结合。以下是实现这一功能的详细分析和示例代码
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4275
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
【汇编】检测代码段的字节是否被修改
追逐光芒,追随内心
03-16 336
** XYClient.exe+711DC - C3 - ret XYClient.exe+711DD - 89 04 24 - mov [esp],eax XYClient.exe+711E0 - 8B 04 24 - mov eax,[esp] XYClient.exe+711E3 - 8A 00 - mov al,[eax] //获取代码数据 XYClient.exe+711E5 - 5A
第十六章 代码校验
JIY743761374的博客
04-03 1142
第十六章 代码校验 你永远不能保证你的代码是正确的,你只能证明它是错的。 让我们先暂停编程语言特性的学习,看看一些代码基础知识。特别是能让你的代码更加健壮的知识。 测试 如果没有测试过,它就是不能工作的。 Java是一个静态类型的语言,程序员经常对一种编程语言明显的安全性感到过于舒适,“能通过编译器,那就是没问题的”。但静态类型检查是一种非常局限性的测试,只是说明编译器接受你代码中的语法...
恶意代码---检测技术
haomei999的博客
05-04 961
恶意代码种类:木马、蠕虫、广告软件、后门、间谍软件等; 恶意代码检测技术 1)对抗汇编技术:将具有特殊构造的数据和代码应用到程序中,错误的程序代码就会在使用汇编分析工具进行分析时产生; 2)调试技术:发现调试器被用来检测恶意代码的动作时,调试技术被恶意代码编写者用来增加调试器对恶意代码的分析时间;延长调试的时间和调试复杂性,恶意代码一旦发现被调试,就通过修改自身程序来使自己奔溃或者修改已经设定的执行路径来达到阻碍调试器分析的目的; 3)虚拟机技术:恶意代码里含有虚拟机技术主要由于用于捕获恶意代
简单的虚拟机测试代码
LLC
05-10 4016
.text:00401400 .text:00401400 ; =============== S U B R O U T I N E ======================================= .text:00401400 .text:00401400 ; Attributes: bp-based frame .text:00401400 .text:00401400 sub
校验和之概念、计算原理、检验原理、实例计算、代码编程,力荐力荐力荐
最新发布
qq_40967086的博客
01-03 3563
校验和之概念、计算原理、检验原理、实例计算 Windows下进行socket编程时遇到的关于校验和的问题,先记录如下。在发送数据时,为了计算数据包的检验和。应该按如下步骤:1、把校验和字段设置为0;2、把需要校验的数据看成以16位为单位的数字组成,依次进行二进制码算术运算相加(网上很多说“码求和”,不准确!原因见下方说明);3、得到的和取,再存放至校验和字段。在接收数据时,计算数据包的检验和相对简单,按如下步骤:1、把首部看成以16位为单位的数字组成,用码算术运算求和(包括校验和字段);2、和取
韦一之串口、va_arg()可变参数处理及裸机实现printf(重难)(011课)
weixin_42855050的博客
05-30 853
参考了https://www.cnblogs.com/huangdengtao/p/12103149.html 一、串口基础 写法:115200,8n1表示波特率115200,8位数据位,没有(No)校验位,一个停止位(还有一个必备的起始位) 所以共十位,每一位需要时间1/115200,传输一个字节的时间也就是1/11520 也就是对应于8n1的方式,一秒可以传输11520字节数据! 怎么发送一字节数据,比如‘A‘? A 的ASCII值是0x41,二进制就是01000001,怎样把这8位数据发送给PC机呢?
Web渗透测试-实战 方法 思路 总结
m0_55595611的博客
02-21 9462
尽可能的搜集目标的信息 端口信息 DNS信息 员工邮箱 信息搜集的分类 1、主动式信息搜集(可获取到的信息较多,但易被目标发现) 2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。 3、被动式信息搜集(搜集到的信息较少,但不易被发现) 4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。 搜索引擎 Google hacking 常用搜索语法: intitle:KEYWORD //搜索网页标题中含有关键词的网页 intext:KEYWORD //搜索站
CC断点介绍
weixin_43046297的博客
03-03 1861
一、 1.F2断点:普通断点、CC断点、int3断点 2.为什么叫CC断点呢? 可以通过调试看出来,我们在一个指令上下断点, 例如:je xxxx指令,这个指令机器码是74 01 我们在这里下断点 指令所在内存是0040101A,内存处存放的完整数据是74 01 C3 A1 然后我们将这条指令对应内存地址的内容复制到寄存器内:mov eax [0040101A] 按理说,eax内容应该是A1C3...
详解调试技术
热门推荐
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
校验和代码(CheckSum)
DriverMonkey的专栏
09-19 4938
int CUpdateProtocal::GetCheckSumNum(char* pcData, int iSize) { if(pcData == NULL) return NULL; unsigned char ulCheckSum = pcData[0]; for(unsigned char cCounter = 1; cCounter <iSize; cCounter
校验和算法
the_owl的专栏
08-08 5310
原文链接:http://blog.chinaunix.net/uid-26758209-id-3146230.html 校验和算法     经常看计算机网络相关的书时,每次看到关于IP或者是UDP报头校验和时,都是一笑而过,以为相当简单的东西,不就是16bit数据的相加吗!最近在学习Ping命令的源待时,看到里面有关于校验和的算法。一头雾水,后来查找资料,看到校验和是16bit字的二进制
Java 实现校验和(Checksum)
neweastsun的专栏
09-15 1万+
Java 实现校验和(Checksum) 本文简要解释什么是校验和以及如何在java中计算校验和。 1. 校验和实现算法 校验和是指传输位数的累加,当传输结束时,接收者可以根据这个数值判断是否接到了所有的数据。如果数值匹配,那么说明传送已经完成。通常用来在通信中,尤其是远距离通信中保证数据的完整性和准确性。简言之,校验和是二进制数据流的迷你表示。 在网络编程中通常用于检查信息是否完整接收,在接收到新消息时,可以重新计算校验和并与接收到的校验和进行比较,以确保没有丢失任何字节位。此外,它们还可以用于文件管理
怎么全局安装 nodemon 包及使用
xiamude的博客
09-11 1238
作用:它能帮我们自动检测到我们的代码的修改,并自动重新运行我们的代码 我们每次修改了代码,要想代码生效都需要重新运行,这有点麻烦。那有没有一个工具会自动检测到我们的修改并自动重新运行我们的代码呢?答案是有的,它叫nodemon。 安装 步骤: 在任意位置 打开一个小黑窗,输入如下命令 npm install -g nodemon 回车。 此操作需要联网,根据网络速度所耗时间不同。如果这个命令执行完成并没有报错,就是说明安装成功了。 对上面的命令说明如下: npm是一个工具,用来管理n
调试检测函数是否被下断点,检测 CC 断点
VI___
05-05 930
以简单的 MessageBoxA 来举例: FARPORC Uaddr; BYTE Mark = 0; (FARPORC&)Uaddr = GetProcAddress( LoadLibrary("user32.dll"), "MessageBoxA"); Mark = *((BYTE*)Uaddr); if (Mark == 0xCC) { ...
[检测] CRC 校验内存补丁
LYSM
11-27 1005
背景 通常程序中至少包括了代码段,数据段,而数据段中所存储的数据是经常会发生变动的,例如我们的全局变量,静态变量等都会默认存储在数据段,而代码段则不会发生变化,我们在检验时只需要注重.text内存段中的数据完整性即可,针对内存的校验同样可以抵御调试器的CC断点,该断点原理就是在下端处写入int3指令,同样可以检测得到。 校验思路如下 1.首先从内存得到PE的代码节的RVA和节大小 2.根据得到的RVA和节大小计算出crc32或是RC4值 3.读取自身保存的原始CRC32值,与校验结果进行比较 代码
26种对付调试的方法
weixin_34235371的博客
05-15 4557
2019独角兽企业重金招聘Python工程师标准>>> ...
Vue表单校验简易实现(100行代码)
"本文将介绍如何使用100行代码实现Vue.js中的表单验证功能。作者通过实例和截图详细讲解了实现过程,适合初学者参考。主要涉及两个文件,一个用于逻辑处理,另一个用于定义校验规则。" 在前端开发中,表单验证是必...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值