小甲鱼 OllyDbg 教程系列 (十七) : 反调试

最新推荐文章于 2024-08-14 01:30:56 发布
最新推荐文章于 2024-08-14 01:30:56 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: OllyDbg
原文链接:https://www.bilibili.com/video/av6889190?p=27
版权


小甲鱼 OD 教程:https://www.bilibili.com/video/av6889190?p=27

ReverseMe.A.B.C.D 下载地址:https://pan.baidu.com/s/1_aVUa6aDATSpE6bQgc6hLA    提取码:ebo2

[调试篇] 调试篇 - 第二十二讲 - OD使用教程22(视频+课件+试验程序)
https://fishc.com.cn/thread-28330-1-1.html

 

 

 

程序 A:

 

单独打开程序显示成功,但是 使用 原版 OD ( 不带插件的 OD ,有些 插件可以绕过 debug 检测 ) 则显示 keyfile 不可用:

现在把 OD 的 插件所在的文件夹改个名,让 OD 运行的时候无法加载插件,然后打开程序,运行,发现 Keyfile 无效:

F7 跟进去之后,可以发现 IsDebuggerPresent ,这个是 win32 的 API 函数:

既然找到了问题所在,就可以直接进行修改,可以直接 nop 掉,也可以 直接 jmp 到正确的位置。方法有多种,自己摸索尝试。

 

 

程序 B:

 

正常打开程序,程序显示成功,使用 OD 打开,然后运行程序,发现什么都没显示程序就中止了

可以直接 把 出错的代码 直接 nop 掉 即可。

 

 

程序 C:

 

正常打开程序显示正常:

使用 OD 载入程序,然后运行程序,发现直接中止:

重新载入程序 ,Ctrl + F8 ,在循环哪里 按下  F12 (暂停),然后打上断点:

F7 进入断点,进入程序分析:

可以直接 nop 掉,或者 jmp 正确位置

 

 

程序 D:

 

正常打开程序显示正常:

使用 OD 打开显示程序不可读:

重新载入程序 ,Ctrl + F8 ,在循环哪里 按下  F12 (暂停),然后打上断点:

按 F7 进入分析:

 

 

 

反调试 2:

 

小甲鱼 OD 教程:https://www.bilibili.com/video/av6889190?p=28
Debugger Detected 下载:https://pan.baidu.com/s/1BeFEng2HcjXINvqY-na6yg    提取码:n3bh

当不打开 OD 时,打开程序,显示没有探测到调试器:

当 打开 OD ,不载入程序,再次打开程序,发现显示 陶策到调试器:

 

 

 

 

[系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点
杨秀璋的专栏
02-24 6884
作者前文介绍了OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,在此感谢这些大佬们。
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
杨秀璋的专栏
05-13 9493
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。基础性文章,希望对您有所帮助。
Ollydbg逆向过程遇到的一个反调试机制
weixin_37740119的博客
09-09 1196
这两天尝试逆向一个木马,MD5=C8102164058B27B5553924255093B643,再调试的时候遇到了一个诡异的地方。 调试到上图红框处时,看到调用的是个系统函数,就直接F8准备跳过了。结果,和我想得不一样的是,居然程序跳到了系统函数的内部,如图位置,注意红色框内地址明显不是正常程序内部,然后我继续无脑F9,还是在系统函数内部,但是看到报了个RtlRaiseException错误。查了很多资料发现原来这是恶意样本反调试的一种机制,因为调试时ollydbg会自动接管处理这种错...
使用OllyDbg从零开始Cracking 第十九章-OllyDbg反调试之IsDebuggerPresent.pdf
07-25
西班牙的一套OD使用教程,很不错。这是其中一部分。
喜欢分享: Ollydbg 1.1.0 终结版, 具有不错的"反反调试" Anti-anti-ollydbg功能的调试工具
stereohomology
11-13 4252
<br /> <br />ollydbg是逆向脱壳界最常用的工具了.<br /> <br />由于最新的版本ollydbg 2.0以上版本作者懒得支持插件功能, 所以用起来反而不如以前流行的Ollydbg 1.1.0方便顺手.<br /> <br />因此, 很多高手用的还是Ollydbg 1.1.0, 尤其是, 高手用软件, 都喜欢进行很大程度的改造: 插件, 用户界面, 等等....<br /> <br /> <br />解密和调试的对立面, 当然是加密软件的一些反解密, 反调试技巧的使用了.<br /
Ollydbg 1.1.0 终结版, 具有很强的反反调试能力
11-13
通常的OD调试某些具有反调试能力的加壳的程序的时候,OD容易被发现,导致一打开就会退出/自动关闭.只能望程序兴叹. 类似的加壳类型, safengine licensor, themida winlicense 2.x等都是这样. 现在这个OD经过了一些修改和加强, 可以避免在调试开始阶段就被黑掉. 其中的脚本之类的插件还不是最新版的, 可以自己到网上下载最新的.dll文件, 替换掉就可以. 还有选项和外观里面的路径可能需要根据自己放文件夹的实际路径,重新设置一下. == 特别说明: 这个是调试软件, 不是脱壳机.
甲鱼 OllyDbg 教程系列 () :VB 程序逆向分析
墨鱼菜鸡
07-11 597
甲鱼视频:https://www.bilibili.com/video/av6889190?p=14 VB程序逆向反汇编常见的函数:https://www.cnblogs.com/bbdxf/p/3780187.html 程序下载地址:链接:https://pan.baidu.com/s/18igiL-YWn9wnIrJfKT8gBA 提取...
Ollydbg教程配套文件:Debugger Detected原版
甲鱼通常指的是一系列由同一人或团队制作的编程教程,特别在网络上有较高知名度,它的特色是将复杂的概念通过通俗易懂的方式讲解。小甲鱼教程往往涵盖了从基础到高级的各种IT知识点,包括但不限于编程、网络安全...
甲鱼ollydbg
07-11
FishcOD【2012-11-21】这个压缩包可能包含了小甲鱼ollydbg教程资料,或者是当时版本的软件及其相关教学资源,帮助用户从零开始学习ollydbg的使用。 总的来说,小甲鱼ollydbg为中国的逆向工程师提供了一个友好的...
甲鱼教程:解压缩RegisterMe.exe以学习使用Ollydbg
- 小甲鱼教程是该学习材料的提供者,可能包含了一系列的教学视频或文档,以便学习者能够跟随并学习如何使用Ollydbg。 ### 标签知识点 标签中的“RegisterMe”、“od”、“小甲鱼教程”和“nag”指出了几个重点概念...
StrongOD:StrongOD(反调试插件)驱动程序源代码-windows source code
03-25
强OD StrongOD是ollydbg调试器的强大插件,它可以抵抗各种调试器检测技术。 这是StrongOD驱动程序的源代码,我几年前已将其反转,有关更多信息,请访问: : 。 原谅我不是很好的编码风格。 实际上,您可以将此驱动程序与任何Windows调试器结合使用,您所需要做的就是编写一个调试器插件来调用此驱动程序提供的接口。
StrongOD插件,OD强大插件
11-21
StrongOD插件,OD强大插件 能打开隐藏进程,功能更强大
甲鱼od教程实战文件
01-11
就是视频中的实战程序 方便加深理解 阿
调试、反调试、反反调试
最新发布
m0_57836225的博客
08-14 393
调试是软件开发过程中的一个重要环节,旨在发现和解决软件中的错误、优化性能、理解程序的行为和逻辑。调试工具可以让开发者跟踪程序的执行流程、查看变量的值、设置断点等。反调试是软件开发者为了防止其程序被非法调试、分析和破解而采取的一系列技术手段。需要注意的是,在未经授权的情况下对软件进行反调试和反反调试可能涉及违法和违反软件使用协议。反反调试则是试图绕过或对抗软件中的反调试机制,以便能够对程序进行调试和分析。2. 代码补丁:修改程序的二进制代码以绕过反调试检查。3. 反反调试工具:专门用于应对常见反调试技术。
ollydbg 调试
hjjdebug的专栏
08-03 1379
当我再一次拿起ollydbg时,竟觉得如此陌生,这里以一个老手从新手的角度来记录一下需要快速掌握的东西。版本已经递长到1.10(help 菜单),功能肯定更强,使用更方便了 1.首先是常用的快捷键. 快捷键特性: 时间久了,快捷键会忘记. 用一用,又能很快熟悉起来。 翻一翻菜单上关联的快捷健,能很快熟悉和使用起来。它们是: a. 调试类型 F9: run ctrl-F9: 执行到返回
逆向工程核心原理-逆向基础(基于Ollydbg201与Hello World的逆向调试)
m0_74220316的博客
07-06 1498
我们编写的源码经过编译转化为exe可执行文件,而exe则是二进制文件,在分析二进制文件时,为了更好地理解它,我们通过调试器进行反汇编处理,将二进制代码转化为汇编语言指令代码。
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试
weixin_30312563的博客
07-10 412
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
动态调试OllyDbg工具
xuanyitwo的博客
04-24 690
​ F7: 单步步入,功能同单步步过(F8)类似,区别是遇到call等子程序会进入其中,进入后首先会停留在子程序的第一条指令上。​ ctrl+F9: 执行到返回,此命令在执行到一个ret(返回指令)时暂停,常用语从系统部分返回到我们调试的程序部分。3.当程序运行到这个地址的时候,CPU会向OD发送异常信息,然后程序中断,等待用户操作。​ F2: 设置断点,只要在光标定位的位置按F2即可,在按一次F2键则会删除断点。​ F9: 运行,按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值