OD/CE 过掉TMD壳附加检查

最新推荐文章于 2024-05-29 22:38:21 发布
最新推荐文章于 2024-05-29 22:38:21 发布
阅读量6.7k 收藏 5
点赞数
分类专栏: TMD壳 OD附加 CE附加 文章标签: 线程 jmp sdk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fenqingfj/article/details/22750907
版权

恢复OD进程附加原理


1、恢复DbgBreakPoint和DbgUiRemoteBreakin被HOOK代码


//由于我是使用ntdll SDK,可直接使用NTDLL中的API,如果你们不能使用,直接用GetProcAddress获取API

注意该处的修复,自己可以写个HOOK,放到LoadLibrary,每次加载DLL时候,就处理一次,防止某些DLL还有TMD壳,又会被恢复

ntdll->DbgBreakPoint 被TMD壳修改为retn -> 0xC3


DWORD lpflOldProtect;

LPVOID ulAddress = DbgBreakPoint;

VirtualProtect(ulAddress,1,PAGE_EXECUTE_READWRITE,&lpflOldProtect);

*(BYTE*)(ulAddress) = 0xCC;


ntdll->DbgUiRemoteBreakin 被TMD修改为JMP LdrShutdownProcess 

ulAddress = DbgUiRemoteBreakin

VirtualProtect(ulAddress,1,PAGE_EXECUTE_READWRITE,&lpProtect);
*(BYTE*)(ulAddress) = 0x6A;
*(DWORD*)((BYTE*)ulAddress+1)= 0xFC686808;

<
最低0.47元/天 解锁文章
等雨听风
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[持续更新]过SOD检测OD方法
zhuhuibeishadiao
05-30 6874
使用异常 Closehandle 如果给CloseHandle()函数一个无效句柄作为输入参数,在无调试器时,将会返回一个错误代码,而有调试器存在时, 将会触发一个EXCEPTION_INVALID_HANDLE (0xc0000008)的异常。 bool getdebebugbyCloseHandle()//返回true说明有OD { __try { CloseHandle(
过Tp让ODCE附加源码(附驱动源码)
08-01
过Tp让ODCE附加源码(附驱动源码)
转载 关于两个VMP 和TMD
zimengmeng131的博客
05-11 4697
学了两课,膨胀的找了个两个软件,一个vmp一个Themida & WinLicense 2.0 - 2.4.6。老实了。以下为转载,目前看不懂完全。 总结vmp基础原理,大牛不要喷啊! 1.与传统的加工具不同,不是简单的把目标进行压缩、内存解压运行,而是修改目标源码,让目标的部分指令在vmp创建的虚拟环境下运行,虚拟环境中无操作数比较指令、条件跳转和无条件跳转指令; 2.被修...
TMD脚本跑脚本看人品
03-08
跑脚本看人品跑脚本看人品跑脚本看人品跑脚本看人品跑脚本看人品
CE过检测(可过国内主流检测)
最新发布
Amazing_snack的博客
05-29 450
必需工具:vs2022vmphxdlazarusnotepad++
od检测
02-14
od过强检测 过VMP SE TMDOD检测
检测OD
liuhaidon1992的博客
06-30 1051
之前分析一款私服传奇时,发现只要打开OD,游戏就会崩,后来找到检测线程,分析后,整理出如下检测代码。 BOOL CALLBACK EnumWindowsProc(HWND hwnd, LPARAM lParam) { if (hwnd == INVALID_HANDLE_VALUE) { return FALSE; } if (GetWindowLongA(hwnd, GWL_EXSTYLE) == 0x110) { HWND hChild = GetWindow(hwnd, GW_
OD 实验(二) - 绕过序列号验证
andiao1218的博客
08-29 1509
需要破解的程序 输入用户名和序列号,点击 Check,程序会进行校验 用 OD 打开程序 按快捷键 Ctrl+F9 跟随表达式 GetDlgItemTextA 点击 ok 在这里调用了 GetDlgItemTextA,按 F2 下一个断点 按这个 C 字母,快捷键为 Alt+C 回到程序的起始处 然后按 F9 运行程序,将弹出对话框 输入用户名 s...
OD插件-过GetProcessTimes检测
03-16
标题中的“OD插件-过GetProcessTimes检测”指的是在逆向工程领域中,使用OllyDbg(OD)插件来绕过一种特定的反调试技术,即通过检查`GetProcessTimes`函数来判断是否正在被调试。`GetProcessTimes`是Windows API中的...
逆向分析三件套CE+OD+IDA
03-16
软件逆向分析工具包:CE用来定位数据,OD用来动态调试,IDA用来看代码 懂得自然懂
过强,过检测最新OD
03-16
过强,过检测最新OD,自带很多插件,工具,是调试中的神器!
过检测的OD,非常好用
10-15
过检测的OD,非常好用!
tmd 脚本
01-19
里面是很多的脱脚本,集成很多最新的脱脚本,有TMD WL ENGI等等一堆著名加密的脱脚本
TMD
06-07
TMDTMDTMDTMD
TMD全自动脱
11-18
TMD全自动脱机,可以自动脱tmd加密
18款脱软件(对付TMD,UPX等的软件都有)
08-11
18款脱软件(对付TMD,UPX等的软件都有) 有了这套软件,对付加的exe,dll就基本不成问题了!
od被检测解决方案
青月的成长记录吖
03-22 710
2.StrongOD中选择CreateAsRestrict。改成任意,可以过GetWindow检测。1.升级dbghelp.dll。.ini中的驱动名称。
TMD,临时需求又来了
weixin_34104341的博客
09-05 170
产品上面临上线倒计时,产品经理内心都在祈祷一切顺利,除了默默的每日等待发版本,产品经理心理的话最多或许是下面几句.......“终于上线了!”“改变世界的日子终于来了”“不说了,分分钟用户上万”“老板是不是该考虑给我加薪了”.......就在上线前最后一周,boss找到小张:“这里有一个XX功能,你再加上吧”上线时间不变的情况下,又多了一个功能。产品小张心理:“what fuck x%^@!"能不...
【错误记录】OD 调试器附加进程时找不到进程 ( CE 工具可以附加进程 )
热门推荐
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-16 1万+
OD 工具附加进程 , 找不到要附加的游戏进程 , 但是 CE 工具可以搜索到该进程 ;
OD273/QFP100
03-05
OD273/QFP100是一种集成电路封装类型,常用于电子设备中的芯片封装。下面是对OD273/QFP100的介绍: OD273/QFP100是一种QFP(Quad Flat Package)封装类型,它具有100个引脚。QFP封装是一种常见的表面贴装技术,它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值