OD调试检测研究笔记(以E盾简化版作研究时写的笔记)

最新推荐文章于 2023-02-21 11:50:03 发布
最新推荐文章于 2023-02-21 11:50:03 发布
阅读量403 收藏
点赞数
原文链接:http://www.cnblogs.com/Sendige/p/9600733.html
版权
一般代码比较重复和平常不一样的都是要注意下,因为不是检测OD就是结束进程
 
 
83 C3 04 89 07 83 C7 04 8B 03 83 C3 04 89 07 83 C7 04 8B 03 83 C3 04 89 07 83 C7 04 8B 03 83 C3
04 89 07 83 C7 04 8B 03 83 C3 04 89 07 83 C7 04 8B 03
 
 
 
 
 
0040AA7A |. 83C3 04 add ebx,0x4
0040AA7D |. 8907 mov dword ptr ds:[edi],eax ; kernel32.IsDebuggerPresent
0040AA7F |. 83C7 04 add edi,0x4
0040AA82 |. 8B03 mov eax,dword ptr ds:[ebx]
0040AA84 |. 83C3 04 add ebx,0x4
0040AA87 |. 8907 mov dword ptr ds:[edi],eax ; kernel32.IsDebuggerPresent
0040AA89 |. 83C7 04 add edi,0x4
0040AA8C |. 8B03 mov eax,dword ptr ds:[ebx]
0040AA8E |. 83C3 04 add ebx,0x4
0040AA91 |. 8907 mov dword ptr ds:[edi],eax ; kernel32.IsDebuggerPresent
0040AA93 |. 83C7 04 add edi,0x4
0040AA96 |. 8B03 mov eax,dword ptr ds:[ebx]
0040AA98 |. 83C3 04 add ebx,0x4
0040AA9B |. 8907 mov dword ptr ds:[edi],eax ; kernel32.IsDebuggerPresent
0040AA9D |. 83C7 04 add edi,0x4
0040AAA0 |. 8B03 mov eax,dword ptr ds:[ebx]
0040AAA2 |. 83C3 04 add ebx,0x4
0040AAA5 |. 8907 mov dword ptr ds:[edi],eax ; kernel32.IsDebuggerPresent
0040AAA7 |. 83C7 04 add edi,0x4
0040AAAA |. 8B03 mov eax,dword ptr ds:[ebx]
 
OD检测api函数
 
IsDebuggerPresent
CheckRemoteDebuggerPresent
NtQueryInformationProcess
CsrGetProcessId+OpenProcess
CloseHandle
OutputDebugString
UnhandledExceptionFilter
OutputDebugStringA
ZwSetInformationThread
GetTickCount
timeGetTime
 
 
 
一般调试检测都是调用IsDebuggerPresent函数
 
 
IsDebuggerPresent 函数
 
确定调用进程是否由用户模式的调试器调试。
 
语法
 
BOOL WINAPI IsDebuggerPresent(void);
 
参数
 
该函数没有参数
 
返回值
 
如果当前进程运行在调试器的上下文,返回值为非零值。
 
如果当前进程没有运行在调试器的上下文,返回值是零。
 
下IsDebuggerPresent断点会在堆栈里可以回调到检测的call
 
 
 
检测OD特征
 
eax=002376A0, (ASCII "StrongOD,ODbgScript,ODDragAttach,OllyMachine,单步步入,单步步过,自动步入,自动步过,执行到返回,硬件断点")
堆栈 ss:[0012F610]=76E90000 (kernel32.76E90000)
 
 
0040ACBE /$ 55 push ebp
0040ACBF |. 8BEC mov ebp,esp
0040ACC1 |. 81EC 68000000 sub esp,0x68
0040ACC7 |. C745 FC 00000>mov [local.1],0x0
0040ACCE |. 68 08000000 push 0x8
0040ACD3 |. E8 0ECF0100 call 验证测试.00427BE6
0040ACD8 |. 83C4 04 add esp,0x4
0040ACDB |. 8945 F8 mov [local.2],eax
0040ACDE |. 8BF8 mov edi,eax
0040ACE0 |. BE D5AB4A00 mov esi,验证测试.004AABD5
0040ACE5 |. AD lods dword ptr ds:[esi]
0040ACE6 |. AB stos dword ptr es:[edi]
0040ACE7 |. AD lods dword ptr ds:[esi]
0040ACE8 |. AB stos dword ptr es:[edi]
0040ACE9 |. C745 F4 00000>mov [local.3],0x0
0040ACF0 |. C745 F0 00000>mov [local.4],0x0
0040ACF7 |. 68 08000000 push 0x8
 
检测OD通用特征码:
 
83 C4 04 89 45 ?? 8B F8 BE ?? ?? ?? 00 AD AB AD AB C7 45 ?? 00 00 00 00 C7 45 ?? 00 00 00 00 C7
45 ?? 00 00 00 00
 
一般尾部返回0
 
 
 
GetStarupInfoA 检测启动项信息,可检测是否被调试
 
GetMenu
 
过E盾检测方法:
 
可以下IsDebuggerPresent断点来到检测处
 
用特征码进入到OD菜单检测处尾部
 
0040B859 \. C3 retn 返回0
 
然后在ebp+8处修改为0(检测到调试为1)
 
过菜单检测
 
bp GetWindow 返回0
0012F5E0 00010010 |hWnd = 00010010 (class='#32769')
 
 
 
过驱动检测
70 6C 75 67 69 6E 00 5C 3F 3F 5C 00 4F 6C 6C 79 64 62 67 2E 65 78 65
 
0046BB33 70 6C 75 67 69 6E 00 5C 3F 3F 5C 00 4F 6C 6C 79 plugin.\??\.Olly
0046BB43 64 62 67 2E 65 78 65 00 53 74 72 6F 6E 67 4F 44 dbg.exe.StrongOD
0046BB53 2E 64 6C 6C 00 00 00 00 00 00 00 00 40 00 00 00 .dll........@...
 
 
搜索特征码,然后全部nop 或者nop掉@
 
0012F5E4 002ABE58 ASCII "\??\D:\软件破解\OD类\吾爱破解专用版Ollydbg2015年7月2日更新\吾爱破解专用版Ollydbg\plugin\Rockey5U.sys"

转载于:https://www.cnblogs.com/Sendige/p/9600733.html

agraye9058
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
E盾网络验证企业个人离线易语言源码加密对接好的自绘界面1
qq_42403072的博客
03-22 2219
下载链接:https://pan.baidu.com/s/1wh4hv1clR8AqB2xkG-oUQg 提取码:xnjt 软件功能   1、防破解保障 其他网络验证被破解出各种补丁,甚至一键通杀工具 e盾网络验证从零开始教授无法模拟无法复制的防破解算法,售后者群一直保持防破解姿势。 2、验证易用性 其他网络验证属于COM插件或者DLL模块,调用繁琐 e盾网络验证为易语言专用模块,只要会一点易语言基础的者均可简单搭建自己的商业程序。 3、低成本高效益 其他验证或是按卡收费或是按年/月收费,无限烧钱 e
E盾特征码工具
01-12
E盾特征码工具
初学习OD目标检测常用脚本
sinat_42367115的博客
02-21 433
初学OD目标检测常用脚本~自用~
计算机云教室VMP,冷小黑od检测插件
weixin_34749016的博客
06-21 1836
冷小黑od检测插件2021是一款最新的无视E盾/VMP等检测od破盾插件,可以用于为每个计算机提供驱动程序调试和管理功能,以便在使用各种硬件驱动程序可以为计算机提供更安全的保护,软件能实通过鼠标、键盘检测虚拟机,让你随可以畅快的玩游戏!使用技巧冷小黑OD检测是一款非常好用的游戏虚拟机过检测工具,它可以帮助用户进行游戏专用虚拟机过检测,附键鼠同步器,完美解决虚拟机多开过检测,去除虚拟化虚...
用条件断点寻找E盾的登录、合法、算法和取服务器数据CALL
weixin_40267435的博客
02-23 1989
先科普一下一个API函数HeapAlloc,在指定的堆上分配内存 所以登录、合法、算法或取服务器数据CALL里面都要经过这里 FF25: FF25的跳转到的地方 因此我们在FF25那里(图中选中的那一行)下条件断点(OD里条件断点是粉色的) 设置条件断点的方法:在要设置条件断点的地址 Shift+F2 或者 右键→断点→条件 下面具体说下怎么来这个条件断点,进入正题 登录: 先分析登录CALL汇...
OD调试检测器,可以检测是否有效过反调试
02-05
调试检测软件
大神修改OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
大神OD调试器成品
09-18
大神OD调试器成品,另外一个里面有源码,可以自己编译
易语言检测OD调试附加源码
11-18
纯源码实现用易语言实现,检测OD附加,运行环境检测,相关进行处理和判断。
易语言-易语言6种检测OD调试方法
06-29
源码用了6种检测方法,内存分配反调试,子窗口反调试间差反调试,启动信息反调试间间隔反调试检测调试器反调试
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
检测OD,非常好用
10-15
检测OD,非常好用!
E盾网络验证
08-21
帮助新手解决碰到E盾网络验证的苦恼
E盾网络验证UI优化登录器
05-30
E盾网络验证UI优化登录器,绘制很漂亮,建议新手懒人使用
一款易语言仿E盾个人源码,功能与E盾相同
01-20
对E盾个人做了很大的修改,与E盾个人一模一样.可自行更改本,编译可用
破解笔记----爆破之关键CALL和关键跳
热门推荐
eldn__的专栏
10-03 1万+
找关键CALL和关键跳 方法一: 输入假码注册程序,记录下错误提示信息。 OD载入程序--> 右键-->查找-->所有参考文本字串-->(右键-->查找文本,注:不要区分大小,选择整个范围)找到上面记录的错误提示文本 或:右键-->超级字符串参考-->查找ASCII码/UNICODE->(右键-->查找文本,注:不要区分大小,选择整个范围)找到上面记录的错误提示文本 -->
调试功能<CheckRemoteDebuggerPresent>
weixin_30388677的博客
09-19 310
CheckRemoteDebuggerPresent这个API可以检测是否有调试器的存在,而且这个和PEB里面的BeingDebugged无关了。看一下CheckRemoteDebuggerPresent的声明: __in HANDLE hProcess, __in_out PBOOL pbDebuggerPresent ); 第一个参数是进程...
利用EQSecure E盾预防流氓软体
weixin_34195364的博客
05-17 103
下面我来简介如何用EQSecure E盾拦截流氓软件。 首先下载EQSecure E盾 (下载地址:[url]http://www.eqspywatch.com/[/url] 安装完毕后,打开主界面。 接着,我们先来熟悉一下他的具体功效。 假设某一病毒是利用在系统根目录下建立病毒副本来达到目的的。我们可以这样设置。 然后我们来设置一条规则,拦截所有在系统根目录下创建文件...
E盾特征码工具.7z
11-30
E盾特征码工具.E盾特征码工具.虚拟机运行E盾特征码工具.E盾特征码工具.虚拟机运行E盾特征码工具.E盾特征码工具.虚拟机运行
zip怎么放到od调试
最新发布
01-29
如果您想将zip文件放到OD(OpenDrone)调试中,您可以按照以下步骤进行操: 1. 首先,确保您的zip文件包含了与OD调试相关的必要文件和数据。 2. 然后,打开OD调试软件,并在其界面上找到“导入”或“上传”等功能按钮。 3. 点击“导入”或“上传”按钮,然后选择您的zip文件以将其加载到OD调试软件中。 4. 软件可能会提示您选择文件的存放位置或者其他相关设置,按照软件的提示完成相应的设置。 5. 等待软件完成文件上传和解压缩的过程,一旦完成,您就可以在OD调试软件中访问和使用您的zip文件了。 需要注意的是,在将zip文件放到OD调试,确保zip文件中包含的文件和数据符合OD调试软件的要求,以免出现不兼容或错误的情况。另外,也要留意软件的使用说明或者帮助文档,以便更加准确地完成文件的导入和调试。祝您顺利完成!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值