C++ 反反调试(DbgUiRemoteBreakin)

最新推荐文章于 2024-04-14 12:39:17 发布
最新推荐文章于 2024-04-14 12:39:17 发布
阅读量2.6k 收藏 3
点赞数 2
分类专栏: 调试&检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/103136821
版权

碰到一个有反调试的软件,正常附加这个进程时是会失败的(进程崩溃)
在这里插入图片描述
这是因为程序挂钩了 DbgUiRemoteBreakin 这个 API 的原因,打开 PCHunter,查看进程钩子,找到 DbgUiRemoteBreakin 恢复:
(恢复后不要忘记刷新下看钩子是否还会自动生成)
在这里插入图片描述
再次用调试器附加,发现程序已成功断下:
在这里插入图片描述
神兽致敬 = =
在这里插入图片描述

(-: LYSM :-)
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OD/CE 过掉TMD壳附加检查
fenqingfj的专栏
04-01 6755
恢复OD进程附加原理 1、恢复DbgBreakPoint和DbgUiRemoteBreakin被HOOK代码 //由于我是使用ntdll SDK,可直接使用NTDLL中的API,如果你们不能使用,直接用GetProcAddress获取API 注意该处的修复,自己可以写个HOOK,放到LoadLibrary,每次加载DLL时候,就处理一次,防止某些DLL还有TMD壳,又会被恢复
C++ 实现反射(一)
Just Coding!
02-26 3899
c++ 反射?let's try
DbgUiRemoteBreakin反调试
sanqiuai的博客
09-02 2025
DbgUiRemoteBreakin是ntdll提供的用于在目标进程中创建远线程后下软件断点的函数 当我们用OD附加调试时,CreateRemoteThread函数在目标程序中创建了一个远程线程,然后在远程线程中调用DbgUiRemoteBreakin函数,DbgUiRemoteBreakin内部调用了DbgBreakPoint函数,DbgBreakPoint函数内部下了一个int 3断点,触发异常让操作系统运行异常处理程序,然后操作系统把控制权交管给调试器 ps:DbgUiIssueRemoteBreak
简单绕过 DbgUiRemoteBreakin 反调试
LYSM
05-04 4308
调试器附加到游戏下断点后,会出现以下提示: (OllyDbg 和 x64dbg 的现象应该是游戏闪退) 第一时间想到的就应该是游戏对有关下断的API进行了HOOK,DbgUiRemoteBreakin这个函数内部会调用DbgBreakPoint执行断点指令,以触发断点异常,强制把程序断了下来: 我们用CE查看这个函数的头部,发现他跳转到了游戏检测模块的地址: 来到这个后我们发现他调用了Exi...
QQ华夏 - 反调试对抗
Cussrro的博客
07-16 3019
实战中成长 - QQ华夏
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1058
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器让调试器暂...
C++实现反射(Reflection)
热门推荐
游戏技术?johnson3d的专栏不谈技术
03-28 1万+
C++实现Reflection最近1年多,我一直在琢磨和大量使用cli来开发游戏项目,.net系统的反射系统给我的开发设计思路,带来了很大的冲击。反射真的可以从根本上,让设计思路相对传统开发模式有很大的改变。但是反射通常都提供在类似java等动态语言上,后来ms在.net平台上推出了一个很强大完善的反射机制,我最近1年多的项目都是大量使用他,为我的项目开发,做出了很多有意思的东西。但是我的vi
C++反编译工具
05-15
- **调试**:在没有源代码的情况下,反编译结果可以作为调试的辅助信息。 然而,需要注意的是,由于C++的编译器优化和名称混淆,反编译得到的结果往往无法直接还原为原始的C++源代码,只能提供一种近似的表示。此外...
C++ 反编译 snowman
04-06
Snowman is a native code to C/C++ decompiler, see the examples of generated code. This talk gives a brief explanation of how it works.
一个Hook API实现进程保护的实例
06-12
一个Hook API实现进程保护的实例,非常值得参考。
最新OllyDBG调试工具过检测集成插件
05-26
破解利器,最新版,无广告,无其他垃圾快捷方式,真正绿色版!最新过游戏保护,集成多个插件
C++开发语言源代码反编译工具
09-07
C++开发语言源代码反编译工具
网络靶场实战-反调试技术(下)
最新发布
蛇矛实验室
04-14 569
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
ntdll!DbgUiRemoteBreakin工作原理
如鹿渴慕泉水的专栏
12-16 1024
0:067> uf ntdll!DbgUiRemoteBreakin ntdll!DbgUiRemoteBreakin: 77a8aed0 6a08 push 8 77a8aed2 684068ae77 push offset ntdll!QueryRegistryValue+0x13d4 (77ae6840) 77a8aed7 e8a4e3fdff call ntdll!_SEH_prolog4 (77a69280) 77a8aedc 64
简单的检测对抗
qq_35129925的博客
11-04 687
自学有一段时间了 一直都是纸上谈兵 打算找一个检测不是很强的游戏练练手 就是这个荒野 废话不多说 0x00: 首先是反调试 NtSetInformationThread 与 [size=1.1]DbgUiRemoteBreakin NtSetInformationThread 这个好像是荒野的VMP壳加上的反调试 这是一个线程相关的API 会屏蔽掉指定线程的调试事件 一个没有被调试...
调试游戏程序的学问
游戏编程实践
06-02 1万+
1.1  调试游戏程序的学问 作者:Steve Rabin, Nintendo of America Inc.<span lang="EN-US" style="FONT-FAMILY: ս̥
windbg解决程序CPU占用率高,内存占用时高时低现象
testing2007的专栏
08-30 9843
用windbg attach 该进程, Microsoft (R) Windows Debugger Version 6.11.0001.404 X86 Copyright (c) Microsoft Corporation. All rights reserved. *** wait with pending attach Symbol search path is: SRV*D:\
C++反汇编入门教程:从手工到自动化逆向
本教程是针对想要深入了解C++反汇编的初学者设计的简明指南。随着C++在应用程序和恶意软件开发中的广泛应用,掌握逆向工程分析C++程序的能力变得至关重要。教程由Paul Vincent Sabanal撰写,由Mark Vincent Yason...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值