hook api 反OD调试的一种思路

最新推荐文章于 2019-07-10 20:12:00 发布
最新推荐文章于 2019-07-10 20:12:00 发布
阅读量1k 收藏
点赞数
分类专栏: VC++ 文章标签: hook api null insert basic query
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanyun008/article/details/1761322
版权
本文介绍了如何通过hook OD(OllyDbg)的WriteProcessMemory函数来防止OD进行调试。通过在程序启动时hook该API,判断父进程是否为OD,如果是则改变WriteProcessMemory的跳转地址,使其在被调用时不执行实际功能,从而达到反调试的效果。文中详细阐述了实现过程,包括获取父进程ID、分配内存、插入返回指令等步骤。
摘要由CSDN通过智能技术生成

hook api 反OD调试的一种思路
by蓝云

本程序在backer的耐心指导下完成,非常感谢backer的帮助!!!
关于OD怎样在程序中下断点相信大家都知道,就是用WriteProcessMemory函数在要下断点的地方写入0xCC,也就是int 3的中断,
如果我们挂钩OD的WriteProcessMemory函数不让它下断点是不是就可以让OD不能正常跟踪了呢?有了这个思路,下面就是实践了。

首先得解决几个问题:
1.我们的目标是最好在OD正常加载本程序后就已经被hook,怎么解决?

这个问题其实很简单,我们知道全局类的初始化工作在main函数之前,OD正常加载后会停在WinMain函数处,如果把hook api 代
码放在一个全局类的构造函数中就可以了,呵呵,就这么简单。


2.要得到OD的输入表中的WriteProcessMemory函数的跳转地址

呵呵,用OD来调试OD不就很容易得到了么?
用OD调试OD后我们得到WriteProcessMemory函数的跳转地址放在0x0050D450这个地方。

3.如果前面的两个问题解决,现在剩下的就是程序在运行期间要判断自己的父进程是否是OD,如果是OD那么就可以肯定被OD加载,
问题是怎么方便的取得父进程?如果用列取进程列表的方式来获的父进程,这比较麻烦,但是的确是一种思路。我们不采取这种
思路,其实在ntdll.dll中有一个函数可以得到父进程,下面用代码来说话吧:

NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:
NT

最低0.47元/天 解锁文章
lanyun008
关注
专栏目录
180313 逆向-调试技术(6)Hook和AntiHook
whklhhhh的博客
04-03 1263
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 调试技术(6) B. Hook和AntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
防止od调试
02-19
互相学习使用,这个模块是我暂时所收集到的od的方法
OD调试
u011513939的博客
06-30 1055
OD调试资料
sysenter HOOKOD调试
_KaQqi的博客
05-12 2137
sysenter指令: SYSENTER用来快速调用一个0层的系统过程。SYSENTER是SYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYS
程序阻碍OD调试的方式1
积累点滴,保持自我
11-30 3015
一个简单软件阻碍OD调试的方式: 1. API函数 IsDebuggerPresent    确定调用进程是否由用户模式的调试调试。   语法   BOOL WINAPI IsDebuggerPresent(void);   参数   该函数没有参数   返回值   如果当前进程运行在调试器的上
程序阻碍OD调试的方式2
积累点滴,保持自我
11-30 895
1. 介绍一下API函数CreateToolhelp32Snapshot CreateToolhelp32Snapshot 函数通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照. 说到底,可以获取系统中正在运行的进程信息,线程信息,等 折叠编辑本段函数原型: HANDLE WINAPI Cre
易语言实现OD调试复附加的代码
08-26
易语言实现OD调试复附加的代码 ...易语言可以实现OD调试复附加的代码,通过调用Windows API和DLL命令来防止OD调试工具Hook我们的程序。易语言提供了强大的功能和灵活性,能够满足各种编程需求。
VB变态HOOK_API也疯狂.doc
06-27
HOOK API一种可以控制其他程序行为的技术,通过更改 API 代码默认运行轨道,将所运行的代码指向他处(这里一般为我们自己的地址),从而达到 HOOK API 的功能。 HOOK API 的原理可以用汇编语言来表达,如下所示...
易语言-让OD调试器无法附加你的程序
06-29
在这个特定的案例中,“易语言-让OD调试器无法附加你的程序”是一个示例项目,其目的是教你如何使用易语言编写代码来防止调试器如OllyDbg(OD)等工具附加到你的程序,实现调试功能。 调试器是程序员常用的工具...
调试OD
06-21
调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
DLL防OD调试EC模块
02-28
直接做成了模块。引用在程序代码前端可以防止非法破解与调试
(易语言模块)OD模块
08-03
可以保护自己的易语言程序免除被破解和编译的风险,也可以利用此模块写暗装,总之非常非常非常非常非常非常好用。还可以使用360等的强制关机功能
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
强力OD源码
09-06
这是一个强力OD的源代码 我也是下载的 感觉很不错所以上传上来
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试
weixin_30312563的博客
07-10 362
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
od调试的对策(使用除0异常)
hongyanghust的博客
11-30 2744
除0指令的二进制为: BF 00 00 00 00 99 F7 FF MOV  edi 0 cdq idiv    edi
如何防止页面被调试
小敏哥的专栏
08-26 9071
由于web前端项目的特殊性,所有的前端代码基本上是开源的,这就意味着,访问者可以无条件的查看所有的代码,甚至进行调试,弄清项目的业务逻辑,这样,漏洞挖掘者就可以很方便的找出网站的漏洞进行攻击。 出于安全的目的,前端会对代码进行各种压缩打包,混淆等,增加阅读代码的难度,但对于调试,似乎很多人并没有引起应有的重视,下面会介绍一种比较基础的方法,用于阻止网站访问者对项目进行调试。 我们都知道,在js...
18. OD-调试研究,破解调试,编写调试
墨痕诉清风的博客
03-04 6983
病毒、木马、外挂等必须要有的 “安全工作” 因为你一个安全软件一旦被成功调试了,就等同于被调戏了,一切主要操作顺序都被人掌握了,只要开发出逆向的突破即可。 我们要研究他们这些安全软件如何调试的 比如软件发现被OD打开,直接自爆。。。 开始 第一个程序 F8运行程序 找到了弹出调试报错的call F7 程序调用了 IsDebuggerPresent 函...
使用IAT替换实现Hook API详解
此外,Hook API也可能与调试技术和安全机制冲突,因此在开发安全软件或防病毒软件时尤其需要注意。 替换IAT中的导入函数地址是实现Hook API一种有效方法,但也有其局限性。理解这个过程对于进行系统级编程和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值