就是这么检查debug的啊!

最新推荐文章于 2023-03-29 22:36:26 发布
最新推荐文章于 2023-03-29 22:36:26 发布
阅读量376 收藏
点赞数
文章标签: c timer 游戏 杀毒软件 解密 kill
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinaove/article/details/4196080
版权

闲来无事胡写些东西留给自己以后看,没有技术含量,想笑的人劳驾,飘过吧!

周末在家宅了2天很是无聊,下午把以前玩过的一个网游拿出来调试,用OD挂上游戏,不一会弹出来一个MessageBox说,什么网警检测到非法调试,弄的还挺吓人的,因为之前开着抓包工具,看了一下没有往发发送什么可疑数据。看来真的是吓人的,呵呵!

以前调试的时候都很顺利没遇到过什么情况,所以怀疑这公司反外挂技术获过奖是涂有虚名,真的勾起我的好奇了。因为咱这技术也不太好,小菜一个,所以还是怀疑自己的能力啊,姑且试试吧......

用OD重加载游戏运行,在MessageBoxA上下断点,程序运行在断点停下,确实是那条赫人的信息

0C71A4FD  /.  55            push    ebp
0C71A4FE  |.  8BEC          mov     ebp, esp
0C71A500  |.  51            push    ecx
0C71A501  |.  C745 FC 8C227>mov     dword ptr ss:[ebp-4], 0>
0C71A508 >|.  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
0C71A50A  |.  68 BC22750C   push    0C7522BC                ; |Title = "网警:****
0C71A50F  |.  8B45 FC       mov     eax, dword ptr ss:[ebp-4]        ; |
0C71A512  |.  50            push    eax                              ; |Text = "程序检到***********如有疑问请联**"?
0C71A513  |.  6A 00         push    0                                ; |hOwner = NULL
0C71A515  |.  FF15 7CC1740C call    near dword ptr ds:[<&USER32.Mess>; /MessageBoxA
0C71A51B  |.  8BE5          mov     esp, ebp
0C71A51D  |.  5D            pop     ebp
0C71A51E  /.  C3            retn

 

看了一下调用堆栈是空的,堆栈里的数据也都是假的,汗了,有点摸不到头绪了。看来宅在家里能让人情绪紧张。

分析一下:起初以为这里做了什么高深的处理,后来看到调用堆栈和栈里的数据都做了处理,也没什么可利用的。很迷糊中...

总还是有希望的,因为想到调用这个函数无非就是用jmp或者call指令完成,所以一定会在程序中留下痕迹的,在程序中搜索了一下jmp0C71A4FD未果,call 0C71A4FD 未果。一定还有痕迹留下的,最终找到一处

mov eax,0C71A4FD.呵呵就是这里了。

0C73B156  /$  55            push    ebp
0C73B157  |.  8BEC          mov     ebp, esp
0C73B159  |.  B8 FDA4710C   mov     eax, 0C71A4FD
0C73B15E  |.  35 AAAAAAAA   xor     eax, AAAAAAAA                  '还做了以下xor迷惑人的
0C73B163  |.  A3 98C3750C   mov     dword ptr ds:[C75C398], eax '应该是存到全局变量里了吧
0C73B168  |.  5D            pop     ebp
0C73B169  /.  C3            retn

找到这里就有希望了,用OD重新运行程序,这次在执行完0C73B163处指令后,在C75C398的位置下内存访问断点。继续运行程序,在0C73B1DD断下,看了一下调用堆栈,知道这是一个Timer的过程入口,这里有几处判断,多次调用了0C7399F9函数,跟进看一下。

0C73B1C2  /.  55            push    ebp                              ;  check debug timer proc

0C73B1C3  |.  8BEC          mov     ebp, esp
0C73B1C5  |.  83EC 14       sub     esp, 14
0C73B1C8  |.  C745 EC 00000>mov     dword ptr ss:[ebp-14], 0
0C73B1CF  |.  E8 0FE9FFFF   call    0C739AE3  ;不贴这个函数过程了就是通过ZwQueryInformationProcess检查是否被调试,总之返回eax=1就完蛋了,几处检测类似只贴主要函数了(下同)

0C73B1D4  |.  8945 F4       mov     dword ptr ss:[ebp-C], eax
0C73B1D7  |.  837D F4 00    cmp     dword ptr ss:[ebp-C], 0
0C73B1DB  |.  74 15         je      short 0C73B1F2
0C73B1DD  |.  A1 98C3750C   mov     eax, dword ptr ds:[C75C398]
0C73B1E2  |.  35 AAAAAAAA   xor     eax, AAAAAAAA
0C73B1E7  |.  50            push    eax
0C73B1E8  |.  E8 0CE8FFFF   call    0C7399F9   

0C73B1ED  |.  83C4 04       add     esp, 4
0C73B1F0  |.  EB 56         jmp     short 0C73B248
0C73B1F2  |>  FF15 68C0740C call    near dword ptr ds:[<&KERNEL32.Ge>; [GetCurrentProcessId
0C73B1F8  |.  8945 F0       mov     dword ptr ss:[ebp-10], eax
0C73B1FB  |.  8B4D F0       mov     ecx, dword ptr ss:[ebp-10]
0C73B1FE  |.  51            push    ecx  

                         

0C73B1FF  |.  E8 3DEAFFFF   call   0C739C41              ;CheckRemoteDebuggerPresent

 

0C73B204  |.  83C4 04       add     esp, 4
0C73B207  |.  8945 F8       mov     dword ptr ss:[ebp-8], eax
0C73B20A  |.  837D F8 00    cmp     dword ptr ss:[ebp-8], 0
0C73B20E      74 17         je      short 0C73B227
0C73B210  |.  8B15 98C3750C mov     edx, dword ptr ds:[C75C398]
0C73B216  |.  81F2 AAAAAAAA xor     edx, AAAAAAAA
0C73B21C  |.  52            push    edx
0C73B21D  |.  E8 D7E7FFFF   call   0C7399F9
0C73B222  |.  83C4 04       add     esp, 4
0C73B225  |.  EB 21         jmp     short 0C73B248


0C73B227  |>  E8 8EE8FFFF   call    0C739ABA             ; IsDebuggerPresent


0C73B22C  |.  8945 FC       mov     dword ptr ss:[ebp-4], eax
0C73B22F  |.  837D FC 00    cmp     dword ptr ss:[ebp-4], 0
0C73B233      74 13         je    short 0C73B248 

0C73B235  |.  A1 98C3750C   mov     eax, dword ptr ds:[C75C398]
0C73B23A  |.  35 AAAAAAAA   xor     eax, AAAAAAAA
0C73B23F  |.  50            push    eax
0C73B240  |.  E8 B4E7FFFF   call    0C7399F9
0C73B245  |.  83C4 04       add     esp, 4
0C73B248  |>  8BE5          mov     esp, ebp
0C73B24A  |.  5D            pop     ebp
0C73B24B  /.  C2 1000       retn    10

 

看一下0C7399F9函数,哇!豁然开朗了!想明白的东西终于明白了,这个函数还是很简单的,就是把堆栈中的数据摸去,然后修改返回地址为0C71A4FD(其实返回地址后边还有几个连续的0C71A4FD可能是为了ret的时候安全调用吧),这样修改完0x200个堆栈空间后(真下功夫的),直接ret就飞向0C71A4FD了,就是开始那个调用MessageBox的函数了,不细说了。

仔细看一下这一大堆代码,呵呵还有传说中的花指令吧,不过真不太高明啊!

0C7399F9   $  55            push    ebp
0C7399FA   .  8BEC          mov     ebp, esp
0C7399FC   .  6A FF         push    -1
0C7399FE   .  68 20B1740C   push    0C74B120                ;

0C739A03   .  64:A1 0000000>mov     eax, dword ptr fs:[0]
0C739A09   .  50            push    eax
0C739A0A   .  64:8925 00000>mov     dword ptr fs:[0], esp
0C739A11   .  51            push    ecx
0C739A12   .  83EC 10       sub     esp, 10
0C739A15   .  53            push    ebx
0C739A16   .  56            push    esi
0C739A17   .  57            push    edi
0C739A18   .  8965 F0       mov     dword ptr ss:[ebp-10], esp
0C739A1B   .  C745 EC 00000>mov     dword ptr ss:[ebp-14], 0
0C739A22   .  8B45 08       mov     eax, dword ptr ss:[ebp+8]
0C739A25   .  8945 E0       mov     dword ptr ss:[ebp-20], eax
0C739A28   .  837D 08 00    cmp     dword ptr ss:[ebp+8], 0
0C739A2C   .  75 08         jnz     short 0C739A36
0C739A2E   .  E8 25490000   call   0C73E358
0C739A33   .  8945 E0       mov     dword ptr ss:[ebp-20], eax
0C739A36   >  8D4D EC       lea     ecx, dword ptr ss:[ebp-14]
0C739A39   .  894D E4       mov     dword ptr ss:[ebp-1C], ecx
0C739A3C   .  C745 E8 00000>mov     dword ptr ss:[ebp-18], 0
0C739A43   .  C745 E8 00000>mov     dword ptr ss:[ebp-18], 0
0C739A4A   .  EB 09         jmp     short 0C739A55
0C739A4C   >  8B55 E8       mov     edx, dword ptr ss:[ebp-18]
0C739A4F   .  83C2 01       add     edx, 1
0C739A52   .  8955 E8       mov     dword ptr ss:[ebp-18], edx
0C739A55   >  837D E8 0A    cmp     dword ptr ss:[ebp-18], 0A
0C739A59   .  7D 0E         jge     short 0C739A69
0C739A5B   .  8B45 E8       mov     eax, dword ptr ss:[ebp-18]
0C739A5E   .  8B4D E4       mov     ecx, dword ptr ss:[ebp-1C]
0C739A61   .  8B55 E0       mov     edx, dword ptr ss:[ebp-20]
0C739A64   .  891481        mov     dword ptr ds:[ecx+eax*4], edx
0C739A67   .^ EB E3         jmp     short 0C739A4C
0C739A69   >  E8 EA480000   call    0C73E358
0C739A6E   .  8945 E0       mov     dword ptr ss:[ebp-20], eax
0C739A71   .  EB 09         jmp     short 0C739A7C
0C739A73   >  8B45 E8       mov     eax, dword ptr ss:[ebp-18]
0C739A76   .  83C0 01       add     eax, 1
0C739A79   .  8945 E8       mov     dword ptr ss:[ebp-18], eax
0C739A7C   >  817D E8 00020>cmp     dword ptr ss:[ebp-18], 200
0C739A83   .  7D 24         jge     short 0C739AA9
0C739A85   .  C745 FC 00000>mov     dword ptr ss:[ebp-4], 0
0C739A8C   .  8B4D E8       mov     ecx, dword ptr ss:[ebp-18]
0C739A8F   .  8B55 E4       mov     edx, dword ptr ss:[ebp-1C]
0C739A92   .  8B45 E0       mov     eax, dword ptr ss:[ebp-20]
0C739A95   .  89048A        mov     dword ptr ds:[edx+ecx*4], eax
0C739A98   .  EB 06         jmp     short 0C739AA0
0C739A9A   .  B8 A09A730C   mov     eax, 0C739AA0
0C739A9F   .  C3            retn
0C739AA0   >  C745 FC FFFFF>mov     dword ptr ss:[ebp-4], -1
0C739AA7   .^ EB CA         jmp     short 0C739A73
0C739AA9   >  8B4D F4       mov     ecx, dword ptr ss:[ebp-C]
0C739AAC   .  64:890D 00000>mov     dword ptr fs:[0], ecx
0C739AB3   .  5F            pop     edi
0C739AB4   .  5E            pop     esi
0C739AB5   .  5B            pop     ebx
0C739AB6   .  8BE5          mov     esp, ebp
0C739AB8   .  5D            pop     ebp
0C739AB9   .  C3            retn

 

 

 

 总结一下,其实感觉我是舍近求远了,因为无聊啊,可以直接从ZwQueryInformationProcess,CheckRemoteDebuggerPresent ,IsDebuggerPresent函数入手,这种检测调试的方法就是《加密解密》上介绍的,地球人都知道了。直接干掉那个timer就可以了,应该是这样的!

 

补充一下:上次干掉了那个Timer,更狠的东西来了,没多一会OD都结束了,呵呵!再跟踪了一下发现有可疑线程,它检查是否程序被调试,如果发现被调试就调用C:/WINDOWS/System32/ntsd.exe结束掉这个调试进程,具体代码就不贴了,调用太多,不过原理就是这样的,呵呵!ntsd.exe让我想起了有的病毒是通过它结束杀毒软件的,挺有意思,真是先礼后兵啊,先提示你一下,最后直接kill了!希望游戏程序员再接再厉,我会继续跟进...

chinaove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于DEBUG版程序的检测错误的小技巧
03-29 861
在C++众多函数库中,防止或检测程序出错的库也有几个,例如断言------cassert(立即退出程序),异常-------exception(立即退出某域)等,其中也有一个很适合在调试中找出具体错误的库-------cerrno(仅显示错误信息)。         对于cerrno库,它可以直接显示出错误的原因,而不需要程序员去寻找出错的原因,可参考以下代码:   #include #i
检查进程是否被调试
10-08 843
转自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 ...
神器 Jupyter 的可视化 Debug
lsxxx2011的专栏
07-29 2317
来源丨数据STUDIOPython 代码编辑器怎么选?PyCharm、VS Code、Jupyter Notebook 都各有特色,Jupyter 适合做数据分析这些需要可视化的操作,PyCharm 更适合做完整的 Python 项目。然而,因为交互式操作,很少会有开发者想到用 Jupyter 做 Debug。尽管很多读者可能认为 Jupyter 用来做展示和小型试验就足...
vs中Debug Assertion Failed!报错处理
weixin_42917994的博客
03-05 2万+
这种编译的时候没有错误,运行的时候出现这个错误,绝大多数都是未分配内存的原因,可以在自己写的指针找找错误,在申请空间的地方,初始化的地方多多检查。 例如:我的在用vector的迭代器的时候,由于放入vector的没有申请内存,所以报错。 当时觉得自己的vector和迭代器定义的很好,没有错误,的确是没有错误,但是后来发现自己的类的初始化(进行分配空间时出错了),在仔细看自己的构造函数就找到根源...
Debug Assertion Failed!
Doyoung
07-07 2639
程序生成没有问题,一运行就出现这个错误 File: minkernel\crts\ucrt\src\appcrt\heap\debug_heap.cpp Line: 908 Expression: is_block_type_valid(header->_block_use) For information on how your program can cause an assertion failure, see the Visual C++ documentation on asserts
Debug无忧!清华校友打造Python调试神器
m0_46163918的博客
02-14 1万+
本文转载自 QbitAI,作者 贾浩楠 写代码时提笔千行,debug时却低效抓狂…… 几乎每个编程者都逃不了这样的纠结。 通过编译器一行行地去找bug,太浪费时间。 所以,一位清华校友、谷歌工程师laike9m,便开发了一个强大的Python调试工具Cyberbrain: 能够详细记录项目数据流、变量、状态等等关键信息。 并且,结果还会以直观简洁的可视化图片呈现。 有了这个神器,今后debug也会和写代码一样流畅高效。 “赛博大脑”帮你debug 平常你的程序中出现bug时会怎么办
Android 中malloc_debug 原理详解
私房菜
02-24 2427
最近上项目中遇到一个native 可能内存泄漏的问题,曾考虑使用HWASAN,但这个工具是针对整个系统,运行代价还是很高的。而笔者遇到的问题大致有所方向,能指定到某一个进程,针对单个进程是否有检测的功能呢?答案是肯定的,也就是本文需要分析的 malloc_debug。malloc_debug 是调试native 内存问题的一个工具,能够帮助我们检测内存损坏、内存泄漏、释放再使用等问题。
KEIL5中Debug调试
小阳先生
05-07 7万+
文章目录前言一、进入调试二、介绍调试工具栏二、搜索寻找三、特殊的窗口1.命令输出窗口2.寄存器窗口3.汇编语言窗口4.变量查看窗口5.检测自己想要看的总结 前言 其实我经常用的调试方法是在指定行加Printf(); 通过串口查看打印的信息,就知道执行到哪一步。 但是这是很麻烦的。 程序由上而下的执行顺序不会变的。debug调试也是从主函数开始这样调试的。一步一步的运行调试程序检查错误,或者直接运行到某处,二话不多说,开整! 一、进入调试 二、介绍调试工具栏 1 . 复位按钮:(类似于用复位按键..
Eclipse的Debug调试技巧大全
热门推荐
fendo
02-12 26万+
一、Debug视图 调试中最常用的窗口是: 窗口 说明 Debug窗口 主要显示当前线程方法调用栈, 以及代码行数(有调试信息的代码) 断点Breakpoints窗口 => 断点列表窗口,可以方便增加断点,设置断点条件,删除断点等 变量Variables窗口 => 显示当前方法的本
ArcEngine拓扑检查软件Debug.zip
11-23
《ArcEngine拓扑检查软件深度解析》 ArcEngine是一款由Esri公司开发的GIS(地理信息系统)开发平台,它提供了强大的地图渲染、空间分析和数据管理功能,是地理信息领域的重要工具。本篇将深入探讨ArcEngine中的拓扑...
Debug Assertion Failed!问题怎么解决?
02-25
在IT领域,尤其是在软件开发过程中,“Debug Assertion Failed!”是一个常见的错误提示,它通常出现在调试阶段,当程序执行到某一点时,预设的断言条件没有得到满足,从而触发了断言失败。这一现象背后涉及的知识点...
anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug
09-14
【标题】"anti-softice.zip_Delphi-Anti-Debug_Soft!_delphi debug" 提供的信息表明,这个压缩包包含的是与Delphi编程语言相关的反调试技术。"SoftICE"是一款著名的系统级调试器,常被黑客和逆向工程师用于分析程序...
Embedded debug!box:允许在MIPS32 EmbeddedLinux设备(WLAN路由器)上执行代码-开源
05-08
"Embedded debug!box"是一个专为此目的设计的工具,它为开发者提供了在这些设备上运行和调试小型应用程序的能力。这个工具的开源性质意味着它的源代码对所有人开放,鼓励社区参与改进和扩展,同时也提供了透明度和可...
H3C Debug 操作手册大全.rar
06-16
H3C Debug信息详解基础常识.pdf MSDP模块Debug命令详解.pdf ospf debug命令.pdf PIM DM模块Debug命令.pdf RADUIS模块Debug命令详解.pdf Ripng模块Debug命令详解.pdf Rip模块Debug命令详解.pdf SNMP Debug命令.pdf ...
IDEA中如何进行debug
llg___的博客
03-29 2646
当一行上有多个方法调用,使用Step Into (Alt + F7) 或者 Force Step Into (Alt + Shift + F7)这两个操作都是根据调用的顺序依次步入。注意:断点回退只是重新走一下流程,之前的数据改变了是无法回退的,如更新了数据库等结果无法改变(文艺的说这个是不是叫重蹈覆辙哈哈哈), 不加条件,你得一直盯着循环直到你想去的位置, 如下图, debug时一步直达i=6,不展示前几次循环。设置异常断点后,在程序中出现需要拦截的异常时,异常断点的设置, 以设置空指针为例。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8882
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3342
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 6434
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
检查 apk 是debug 还是release
最新发布
09-11
检查一个 APK 是 debug 还是 release,我们可以通过以下方法: 第一种方法是通过应用程序的构建类型来确定。在 Android Studio 中,我们可以在项目的 build.gradle 文件中找到构建类型的配置。一般来说,debug ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值