文章目录
0x01 ETC
是一种通过直接检测当前程序、窗口等等中是否含有常见反调试软件,如果有则停止程序。
- 检测OllyDbg窗口----->FindWindow()
- 检测OllyDbg进程------>CreatToolhelp32Snapshot()
- 检查计算机名称是否为“TEST”,“ANALYSIS”等------->GetComputerName()
- 检查程序运行路径是否存在“TEST”,“SAMPLE”等名称------->GetCommandLine()
- 检测虚拟机是否处于运行状态(查看虚拟机特有的进程名称---->VMWareService.exe,VMWareTray.exe,VMWareUser.exe等)
破解方法:提前将软件窗口、进程名等等修改为其他名称;将调用函数时,将栈中的名称字符修改为 NULL 即可。