hook api 反OD调试的一种思路

最新推荐文章于 2019-07-10 20:12:00 发布
最新推荐文章于 2019-07-10 20:12:00 发布
阅读量1k 收藏
点赞数
分类专栏: VC++ 文章标签: hook api null insert basic query
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanyun008/article/details/1761322
版权
本文介绍了如何通过hook OD(OllyDbg)的WriteProcessMemory函数来防止OD进行调试。通过在程序启动时hook该API,判断父进程是否为OD,如果是则改变WriteProcessMemory的跳转地址,使其在被调用时不执行实际功能,从而达到反调试的效果。文中详细阐述了实现过程,包括获取父进程ID、分配内存、插入返回指令等步骤。
摘要由CSDN通过智能技术生成

hook api 反OD调试的一种思路
by蓝云

本程序在backer的耐心指导下完成,非常感谢backer的帮助!!!
关于OD怎样在程序中下断点相信大家都知道,就是用WriteProcessMemory函数在要下断点的地方写入0xCC,也就是int 3的中断,
如果我们挂钩OD的WriteProcessMemory函数不让它下断点是不是就可以让OD不能正常跟踪了呢?有了这个思路,下面就是实践了。

首先得解决几个问题:
1.我们的目标是最好在OD正常加载本程序后就已经被hook,怎么解决?

这个问题其实很简单,我们知道全局类的初始化工作在main函数之前,OD正常加载后会停在WinMain函数处,如果把hook api 代
码放在一个全局类的构造函数中就可以了,呵呵,就这么简单。


2.要得到OD的输入表中的WriteProcessMemory函数的跳转地址

呵呵,用OD来调试OD不就很容易得到了么?
用OD调试OD后我们得到WriteProcessMemory函数的跳转地址放在0x0050D450这个地方。

3.如果前面的两个问题解决,现在剩下的就是程序在运行期间要判断自己的父进程是否是OD,如果是OD那么就可以肯定被OD加载,
问题是怎么方便的取得父进程?如果用列取进程列表的方式来获的父进程,这比较麻烦,但是的确是一种思路。我们不采取这种
思路,其实在ntdll.dll中有一个函数可以得到父进程,下面用代码来说话吧:

NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:
NT

最低0.47元/天 解锁文章
lanyun008
关注
专栏目录
180313 逆向-调试技术(6)Hook和AntiHook
whklhhhh的博客
04-03 1275
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 调试技术(6) B. Hook和AntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
防止od调试
02-19
互相学习使用,这个模块是我暂时所收集到的od的方法
OD调试
u011513939的博客
06-30 1064
OD调试资料
sysenter HOOKOD调试
_KaQqi的博客
05-12 2155
sysenter指令: SYSENTER用来快速调用一个0层的系统过程。SYSENTER是SYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYS
程序阻碍OD调试的方式1
积累点滴,保持自我
11-30 3029
一个简单软件阻碍OD调试的方式: 1. API函数 IsDebuggerPresent    确定调用进程是否由用户模式的调试调试。   语法   BOOL WINAPI IsDebuggerPresent(void);   参数   该函数没有参数   返回值   如果当前进程运行在调试器的上
程序阻碍OD调试的方式2
积累点滴,保持自我
11-30 902
1. 介绍一下API函数CreateToolhelp32Snapshot CreateToolhelp32Snapshot 函数通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照. 说到底,可以获取系统中正在运行的进程信息,线程信息,等 折叠编辑本段函数原型: HANDLE WINAPI Cre
易语言实现OD调试复附加的代码
08-26
易语言实现OD调试复附加的代码 ...易语言可以实现OD调试复附加的代码,通过调用Windows API和DLL命令来防止OD调试工具Hook我们的程序。易语言提供了强大的功能和灵活性,能够满足各种编程需求。
VB变态HOOK_API也疯狂.doc
06-27
HOOK API一种可以控制其他程序行为的技术,通过更改 API 代码默认运行轨道,将所运行的代码指向他处(这里一般为我们自己的地址),从而达到 HOOK API 的功能。 HOOK API 的原理可以用汇编语言来表达,如下所示...
易语言-让OD调试器无法附加你的程序
06-29
在这个特定的案例中,“易语言-让OD调试器无法附加你的程序”是一个示例项目,其目的是教你如何使用易语言编写代码来防止调试器如OllyDbg(OD)等工具附加到你的程序,实现调试功能。 调试器是程序员常用的工具...
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试
weixin_30312563的博客
07-10 380
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
调试OD
06-21
调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
DLL防OD调试EC模块
02-28
直接做成了模块。引用在程序代码前端可以防止非法破解与调试
(易语言模块)OD模块
08-03
可以保护自己的易语言程序免除被破解和编译的风险,也可以利用此模块写暗装,总之非常非常非常非常非常非常好用。还可以使用360等的强制关机功能
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
强力OD源码
09-06
这是一个强力OD的源代码 我也是下载的 感觉很不错所以上传上来
od调试的对策(使用除0异常)
hongyanghust的博客
11-30 2773
除0指令的二进制为: BF 00 00 00 00 99 F7 FF MOV  edi 0 cdq idiv    edi
如何防止页面被调试
小敏哥的专栏
08-26 9117
由于web前端项目的特殊性,所有的前端代码基本上是开源的,这就意味着,访问者可以无条件的查看所有的代码,甚至进行调试,弄清项目的业务逻辑,这样,漏洞挖掘者就可以很方便的找出网站的漏洞进行攻击。 出于安全的目的,前端会对代码进行各种压缩打包,混淆等,增加阅读代码的难度,但对于调试,似乎很多人并没有引起应有的重视,下面会介绍一种比较基础的方法,用于阻止网站访问者对项目进行调试。 我们都知道,在js...
18. OD-调试研究,破解调试,编写调试
墨痕诉清风的博客
03-04 7032
病毒、木马、外挂等必须要有的 “安全工作” 因为你一个安全软件一旦被成功调试了,就等同于被调戏了,一切主要操作顺序都被人掌握了,只要开发出逆向的突破即可。 我们要研究他们这些安全软件如何调试的 比如软件发现被OD打开,直接自爆。。。 开始 第一个程序 F8运行程序 找到了弹出调试报错的call F7 程序调用了 IsDebuggerPresent 函...
调试】去除各种调试
热门推荐
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
专业Hook API源码文档解析
在"hook_hookapi_hook_源码"中,可能会涉及到上述提到的一种或多种Hook技术的实现方法,重点在于提供对API Hooking技术的源码级的解释和实例。文档可能会介绍如下知识点: - **Hook API的基本原理**:介绍如何通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值