18. OD-反调试研究,破解反调试,编写反调试

最新推荐文章于 2020-04-09 15:44:52 发布
最新推荐文章于 2020-04-09 15:44:52 发布
阅读量6.9k 收藏 29
点赞数 7
分类专栏: OllyDbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012206617/article/details/88122495
版权

病毒、木马、外挂等必须要有的 “安全工作”

因为你一个安全软件一旦被成功调试了,就等同于被调戏了,一切主要操作顺序都被人掌握了,只要开发出逆向的突破即可。

我们要研究他们这些安全软件如何反调试的

比如软件发现被OD打开,直接自爆。。。

开始

 

 

第一个程序

F8运行程序

找到了弹出反调试报错的call

 F7

程序调用了 IsDebuggerPresent 函数

IsDebuggerPresent :是确定调用进程是否由用户模式的调试器调试。

修改跳转Z,将指令改为nop不让他跳转就OK了

 

第二个程序

程序在OD中运行,什么也没有

这次直接跳转到了错误的位置,我们nop跳转就OK了

 

第三个程序

遇到被调试,直接退出进程,我们也可以nop到跳转

 

第四个程序

运行 ,程序选择和你同归于尽,大家一起死

程序直接跳转到00000001 ,同样改跳转为nop

 

 

高级

探讨程序使怎么做到反调试的

F8这行指令直接就错误了,此call为win32API创建模式对话框

alt+F9也回不去用户领空了,

DialogBoxParanA的第二个参数为过程函数,就是我们自己编写要做的事

找到函数地址,下断点

call处再次报错,下图

进入call

研究反调试过程

1. CreateToolhelp32Snapshot:可以通过获取进程信息为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程建立一个快照。(所有进程拍照),返回句柄

2. Process32First:是一个进程获取函数,当我们利用函数CreateToolhelp32Snapshot()获得当前运行进程的快照后,我们可以利用process32First函数来获得第一个进程的句柄。

3. 将进程名称和我们打开的OD进行字符串对比

4. Process32Next:是一个进程获取函数,当我们利用函数CreateToolhelp32Snapshot()获得当前运行进程的快照后,我们可以利用Process32Next函数来获得下一个进程的句柄。

5. 循环比较进程名称

6. 如果有OD就跳转退出程序,自爆。

 

 

 

墨痕诉清风
关注
专栏目录
调试技术揭秘(转)
weixin_33935505的博客
03-04 525
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。   一、Windows API方法   Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以...
调试OD
06-21
调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
OD调试
u011513939的博客
06-30 1052
OD调试资料
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试
weixin_30312563的博客
07-10 361
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
大神修改版OD调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
od调试的对策(使用除0异常)
hongyanghust的博客
11-30 2738
除0指令的二进制为: BF 00 00 00 00 99 F7 FF MOV  edi 0 cdq idiv    edi
一个OD补丁用来调试
最新发布
03-16
6. **学习与研究**:通过这个过程,你可以深入学习调试技术和逆向工程,了解软件如何检测和应对调试,以及如何编写使用调试策略。 在实际操作中,了解和掌握这些知识不仅可以提升你在逆向工程领域的技能,...
VB6.0写的调试代码,防止被OD软件调试,结合VMP加壳会很棒
02-23
这些珍贵的VB代码不多,全部是原创的。可以强力保护软件被人调试分析,比如OD在这个软件上就无法调试,包括其他调试器,从原理上封调试器。
StrongOD:StrongOD调试插件)驱动程序源代码-windows source code
03-25
OD StrongOD是ollydbg调试器的强大插件,它可以抵抗各种调试检测技术。... 实际上,您可以将此驱动程序与任何Windows调试器结合使用,您所需要做的就是编写一个调试器插件来调用此驱动程序提供的接口。
OD调试器源码
09-18
3. **调试技术**:许多程序会使用调试技巧来防止被调试OD调试器需要克服这些障碍。源码中可能会包含识别和规避调试策略的方法。 4. **汇编语言和指令分析**:调试器的核心功能之一是解析和解释CPU指令。...
od调试技术
08-16
od不能调试来看看吧
调试技术(以OD为例附核心原代码)
06-05
调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
防止od调试
02-19
互相学习使用,这个模块是我暂时所收集到的od的方法
逆向编程 OD破解之路:跳过加密狗验证.rar
04-25
逆向编程 OD破解之路:跳过加密狗验证
游戏是如何检测到有OD调试工具的(转)
Richard的专栏
03-10 3192
 知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//******
OD 实验(二十) - 对调试程序的逆向分析(一)
andiao1218的博客
10-19 330
程序: Keyfile.dat 里的内容 该文件中要至少有 9 个 ReverseMe.A: 运行程序 用 OD 打开该程序,运行 弹出的是错误的对话框 该程序发现 OD 对它的调试,所以该程序对 OD 进行调试 重新载入程序,按 F8 往下走 这个循环是对 Keyfile.dat 的内容进行判断的 循环过来,来到一个 call 语句 执行...
hook api OD调试的一种思路
蓝云......思......
08-27 1043
hook api OD调试的一种思路by蓝云本程序在backer的耐心指导下完成,非常感谢backer的帮助!!!关于OD怎样在程序中下断点相信大家都知道,就是用WriteProcessMemory函数在要下断点的地方写入0xCC,也就是int 3的中断,如果我们挂钩OD的WriteProcessMemory函数不让它下断点是不是就可以让OD不能正常跟踪了呢?有了这个思路,下面就是实践了。
如何绕过调试技术——学习回顾(2)
weixin_43742894的博客
04-09 809
之前总结了一些常见的调试技术,调试技术是程序作者用来保护程序不被调试,以此来保护自己的秘密,但是逆行分析人员也有自己的破解调试的方法,就是“调试”。 记录学习过程,以待后来温习。 调试技术的总结:https://blog.csdn.net/weixin_43742894/article/details/105278690 主要是通过学习《恶意代码分析实战》这本书的课后题,来进行绕过调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值