反调试之Fake F8

最新推荐文章于 2022-09-04 17:05:47 发布
最新推荐文章于 2022-09-04 17:05:47 发布
阅读量345 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flowwaterdog/article/details/104906318
版权

F7和F8称为单步步入与单步步过

F7可以一步一步跟入call指令,F8则是在call指令下一行代码设置断点

call指令分为两步骤,第一个步骤是将EIP的值修改为调用函数的地址,第二个步骤是将下一行代码地址存入堆栈中

retuen指令也分为两步骤,把堆栈的值取出来放入EIP中,同时ESP+4

此反调试方法是让F8不能在下一行断点,并使其找不到程序往哪跑
找一个函数
在这里插入图片描述
进入函数中,用一行代码将ESP中存储的下一行代码的地址修改掉

在这里插入图片描述
此时F8该函数就会直接跟飞掉程序,只有用F7跟入函数中才能破解
针对此情况可以通过大量的没有意义的call函数,消耗反调试人员的耐心
让其失去耐心放弃用F7一步步跟入,直接F8跳过,使其找不到是通过哪个call指令跳到需要的程序,就能达到反调试的目的,这是较为基础的反调试方法

flowwaterdog
关注
Windbg dump分析 学习总结
bcbobo21cn的专栏
03-05 2万+
Windbg核心调试之dump分析 http://www.pediy.com/kssd/pediy08/pediy8-428.htm 标 题: Windbg核心调试之dump分析 作 者:Lvg 时 间:2006-11-17 12:56  链 接:http://bbs.pediy.com/showthread.php?threadid=35044 调试环境:winxp sp2+wind
pwn入门
FSD
02-23 421
作者:Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出 一直以来都有读者向笔者咨询教程系列问题,奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱,故无法解答,望见谅 如有关于该系列教程的疑问建议联系论坛的原作者ID:Tangerine 0x00 got表、plt表与延迟绑定 在之前的章节中,我们无数次提到过got表和plt表这两个结构。这两个表有什么不同?为什么调用函数要经过这两个表?ret2dl-resolve与这些内容又有什么关系呢?本节我们将通
day19.调试FAKE F8
安全参透之旅
02-12 390
第19节:调试FAKE F8前面学的汇编如何使用,其实我们学的汇编是学习编程的基础,它能解决的问题很多,我们现在来介绍一下调试,大家都知道做底层安全的人,如果看汇编代码的话,跟看C语言没有什么区别,如果一款软件不能让它很容易的调试,就要用到调试功能。1、单步步入(F7),单步步过(F8)1)单步步入与单步步过的区别F7在程序调试中是一行行执行的,F8也是一样的,但是在某些情况下不一样,如:...
【2020.11.15】调试Fake F8
oalken的博客
12-22 245
调试器实现原理:使用0xCC断点、同INT3 单步步入:设置EFLAGS(EFL)的TF标志位 TF标志位设置为1进入单步执行模式 单步步过:在下一行设置断点 CALL:在堆栈中储存CALL指令下一行地址 ESP:栈指针寄存器/当前堆栈用的位置 CALL指令会将CALL指令下一行的地址(0x00469F9C)压入堆栈,当使用F8单步步过CALL,在CALL执行完成后将返回到0x00469F9C处。 当修改/破坏ESP后,再使用F8则无法从堆栈中找到返回地址(因为已经被破坏了),调试器自.
【汇编】调试Fake F8
qq_52572621的博客
09-04 673
功能键F7和F8在DTDEBUG工具中,都是用来执行指令的,那他们有什么区别呢?下面将为大家讲解在调试阶段F7和F8的区别,以及如何做到简单的调试
汇编达人视频学习5(调试Fake(欺骗) F8
太阳照耀我走四方
08-04 190
title: 汇编达人视频学习5 date: 2021年8月4日 10点10分 tags: 汇编达人 categories: 汇编达人 调试Fake(伪装、欺骗)F8 1、单步步入(F7) 单步步过(F8) (1)单步步入与单步步过的区别 在执行普通的指令的时候,F7与F8其实差不多,但是在执行CALL指令的时候,有很大的差别。 在执行CALL指令的时候,先把CALL指令后面的那个地址,存入EIP中,然后把CALL指令的下一行指令的地址送入堆栈中,然后ESP的值减4. 如果我们在CALL指令后面的那.
Anti ptrace:去掉AlipayWallet的ptrace 调试保护,进行lldb调试---仅用于参考学习
weixin_33739646的博客
11-28 1965
新的博客 学习笔记 前言 code 软件环境:Xcode硬件环境:iPhone5越狱手机、Mac开发工具: Cycript、LLDB、logos Tweak、hopper、MonkeyDev、AFLEXLoader、dumpdecrypted、debugserver、ssh、class_dump、hook 本文采用tweak 的方式进行M...
c语言程序设计 滴水视频,编程达人滴水中级班视频教程
weixin_42513387的博客
05-17 733
Java视频教程详情描述:《编程达人滴水中级班视频教程》编程达人来了,N部视频教程让你成为真正的编程达人,融会贯通将是本套视频最大的目的。Java视频教程目录:├─APC机制│ 01 APC的本质.mp4│ 02 备用Apc队列.avi│ 03 APC挂入过程.avi│ 04 内核APC执行过程.avi│ 05 用户APC执行过程.avi│├─c│...
【已解决】Pycharm 调试过程 F8失效 不好用
weixin_42306148的博客
03-25 555
今天调试代码的过程中,F8失效 解决办法 关掉有道词典!
TXP分散控制系统的原理及升级改造
10-25
根据控制系统的工作原理,分析了SIEMENS TXP分散控制系统在扬州第二发电有限责任公司生产运行中出现的一些问题,对控制系统进行了升级改造并采取了调整措施,系统升级改造以后,控制系统趋于 稳定,故障率明显降低
SEH调试的实现与调试
05-16
seh 调试 调试 破解 代码 SEH调试的实现与调试  在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…
win7 64 过TP 用咱们内部OD附加.rar
09-23
任鸟飞的内部过tp 任鸟飞的内部过tp 任鸟飞的内部过tp 任鸟飞的内部过tp 任鸟飞的内部过tp 任鸟飞的内部过tp 任鸟飞的内部过tp
逆向基础:汇编(调试 FAKE F8、ESP寻址、EBP寻址)
lm19770429的专栏
10-17 228
调试:让单步执行失效
oracle调试,Win7 x86内核调试与TP调试的研究
weixin_39988331的博客
04-14 374
本文在Win7 x86下的分析,在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。0x01 内核调试全局变量根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数第一次调用KdInitSystem分别会初始化如下变量1.KdPitchDebugger : Boolean 用来表示是否显示的抑制内核调试, 当启动项中包含 /NODEBUG选项时,这个变量会被...
简单对抗某个驱动的调试
kingswb的博客
04-18 3272
标 题: 【原创】简单对抗某个驱动的调试 作 者: ReturnsMe 时 间: 2010-04-18,20:02:11 链 接: http://bbs.pediy.com/showthread.php?t=111236 先声明: 1.  本文纯娱乐,本人并不从事制作非法软件的活动…也请读者不要将本文的技术运用到非法领域,否则一切后果自负。 2.我是菜鸟,都是些基本内容。只是看网
TCC TP调试心得
宁静致远,淡泊明志.
08-30 2348
现在的嵌入式产品,基本上都用到TouchPanel ,希望我的一点经验会带给大家一点帮助。我这里以TELECHIP7901为例。一、确定X,Y是否镜像:在屏幕上任意拖动出一个矩形虚线框,然后随意上下左右拖动,这时看虚框是否根随触摸笔移动,如果虚线框能跟随触摸笔动,说明X+,X-,
TP的判断调试模式
思维小刀
06-27 767
// 如果是服务器未处理的异常,将http状态码设置为500,并记录日志 if(config('app_debug')){ // 调试状态下需要显示TP默认的异常页面,因为TP的默认页面 // 很容易看出问题 return parent::render(...
汇编笔记【滴水逆向】
m0_58213960的博客
01-12 4722
汇编笔记【滴水逆向】
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值