QQ华夏不知道什么时候加了反调试,看了一下,不是很难,写下来玩玩。
QQ华夏反调试症状:OD加载后,一会就会退出。无论你开了OD,IDA,这类软件,无论你调试没有,都会被关闭掉。。加载 StrongOD 、HideOD之类反调试插件也没有用。
:~(
其实反调试很简单,游戏是开启了一个线程(或者是timer)检查。检查的黑名单比较多,包括:OllyDBG , SoftICe ,华夏助手 ,华夏快乐PK,IDA 等等这些。。游戏是通过psapi.sys的EnumProcess来获取进程的列表的,我们知道,EnumProcess是通过NtQuerySystemInformation来获得进程列表的,当然你可以patch这2个函数来隐藏调试进程。
郁闷的是,隐藏的OD进程进程,仍然会被发现。其实游戏还通过了枚举窗口和子窗口来检查黑名单进程。检查OD的子窗口的class包括 ICPU , 1212121 (呵呵,居然OD的一个子窗口的class名字叫 1212121)。 DIYOD吧。
解决办法:
方法1:直接停止检测线程、或者patch检测线程,让线程直接ret..
方法2:DIYOD : 首先修改OllyDBG.exe改名字为:XXXX.exe (或者patch EnumProcess函数或者NtQuerySystemInformation ,或者直接在内核里面隐藏掉OD),然后DIY OD,用UltraEdit打开OD ,查找到ICPU和1212121,修改之!!!