逆向分析反调试程序

最新推荐文章于 2024-06-21 17:05:14 发布
最新推荐文章于 2024-06-21 17:05:14 发布
阅读量492 收藏 1
点赞数
原文链接:http://blog.51cto.com/haidragon/2117866
版权

1.先运行下正常
逆向分析反调试程序
2.打密码 密码错误
逆向分析反调试程序
3.用 OD 调试
发现报异常 说明做了反调试(OD不要用插件不然他会反反调试看不到)
逆向分析反调试程序
4.(这里要用到 win7了 因为 win10 报异常不知道在哪里)
win10效果

逆向分析反调试程序

逆向分析反调试程序
win7效果可以看出异常地址在哪里
逆向分析反调试程序
逆向分析反调试程序
逆向分析反调试程序
5.知道异常地址在哪了用ida静态分析(ida就好办多了这里直接用mac版7.0)
一看就知道是汇编写的
逆向分析反调试程序
6.开始分析
进回调函数
逆向分析反调试程序
一下就就看到异常地址
逆向分析反调试程序
往下面找一看就有个异常处理函数(怎么知道的写过调试器的一看就知道是个seh 不知道就查下SetUnhandledExceptionFilter)
逆向分析反调试程序
7.进入异常处理函数
进来有点懵 (还好ida强大)
逆向分析反调试程序
8.按快捷键c把当前数据转成汇编代码(光标放在函数名上)点yes
逆向分析反调试程序
逆向分析反调试程序
9.按p转成函数形势
逆向分析反调试程序
改下名字
逆向分析反调试程序
开始分析这个处理函数
其实是一个异常处理函数参数为(struct _EXCEPTION_POINTERS pExceptionInfo)
他取第一个字段 是一个结构体 PEXCEPTION_RECORD ExceptionRecord;
再在结构体取异常码ExceptionCode
然后取struct _EXCEPTION_POINTERS pExceptionInfo的第二个字段 也就是线程上下文 修改寄存器值同时返回-1 说明重新从异常处理执行
在ida中要自己添加一个结构体(在结构体窗口 按ins键 有个addxxx按扭 是创建win就有的结构体 然后 ctrl +f 搜 PCONTEXT)
逆向分析反调试程序
逆向分析反调试程序
分析结果为
逆向分析反调试程序逆向分析反调试程序逆向分析反调试程序
根据处理函数所要修改的寄存器 然后在od里当执行到异常地址时把寄存器改掉
逆向分析反调试程序
如上图要改的寄存器有 edi 改为eax=0x40304e
esi修改成 400332a eip修改成40107f (修改eip直接在地址右键设置为新eip)
逆向分析反调试程序
逆向分析反调试程序逆向分析反调试程序
密码已经出来了 magic
逆向分析反调试程序
其实win10下也可以搞定
拖入od就断在oep处了 ctrl +g 转到 0x00401022 (回调函数地址)
逆向分析反调试程序
逆向分析反调试程序
逆向分析反调试程序

其它截图
逆向分析反调试程序
逆向分析反调试程序
思路2 是下SEH断点

转载于:https://blog.51cto.com/haidragon/2117866

weixin_34360651
关注
逆向——调试
wk19951125的博客
04-15 1063
逆向——基础分析基础分析(二) 基础分析(二)
171211 逆向-高级调试技术
whklhhhh的博客
12-13 1211
1625-5 王子昂 总结《2017年12月11日》 【连续第437天总结】 A. 《逆向工程核心原理》-高级调试技术 B. 花指令这种调的难度可高可低,不过对于只靠F5的萌新们都是无解的简单的只是在代码块之间放置一些垃圾代码,通过jmp跳过,使得汇编不正确,进而影响F5的编译 只需要清除干扰指令,或者动态调试跟一下就能很轻松的解决复杂的则会随机插入大量的花指令,与正确代码混杂在一起
探索 AntiAntiDebug:一款强大的调试工具
gitblog_00075的博客
03-29 310
探索 AntiAntiDebug:一款强大的调试工具 项目地址:https://gitcode.com/AloneMonkey/AntiAntiDebug 在软件开发和安全研究领域,了解如何对抗调试技巧是至关重要的。AntiAntiDebug 是一个开源项目,专注于提供一套调试策略集合,帮助开发者和安全研究人员更好地隐藏代码行为,防止恶意逆向工程攻击。 项目简介 AntiAntiDebug 是...
某红书小程序逆向流程
最新发布
rni88的博客
06-21 922
这周公司稳定运行的某红书搜索接口突然失效了,作为公司唯二的爬虫,公司由我负责解决,一开始我听到这个消息心情是复杂的,好的是失效的不是网页,网页每次稍微变动都要排查好久,忧的是老王并没有多少对小程序的经验,尤其是这种大ip。不慌,打开我的得力助手“雷神模拟器”把"内置系统证书,算法助手,drony,小黄鸟,lsp"全给安排上,能过掉这个组合的程序天下少有。不甘心的我继续在网上借鉴,最终找到一串神奇的代码,这老哥不知道怎么学的,这样写get请求,不过也恰恰是这样,才规避掉这次改动。
探索 AntiDebug:一款强大的调试工具
gitblog_00013的博客
03-31 926
探索 AntiDebug:一款强大的调试工具 项目地址:https://gitcode.com/weikaizhi/AntiDebug 项目简介 在信息安全领域,AntiDebug 是一个开源的、跨平台的调试库,旨在帮助开发者保护他们的应用程序免受恶意调试器的攻击。通过检测和应对各种调试标志和调试技术,它为你的代码添加了一层额外的安全防护。该项目由开发者 weikaizhi 创建并维护,源代...
android 调试插件,GitHub - weikaizhi/AntiDebug: android apk调试工具,hook、xposed、virtual xposed、substrat...
weixin_32282271的博客
05-26 547
AntiDebugandroid apk调试工具,hook、xposed、virtual xposed、substrate该项目主要实现android app第三方调试功能,主要功能用c++实现,因为考虑到用java实现会被xposed等功能拦截,导致调试功能失效。该项目使用 attribute ((visibility ("hidden"))) 隐藏了关键的函数符号,避免被静态分析...
逆向入门-调试
AppWhite_Star的博客
07-30 2223
逆向基础-调试专题
编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
编译与逆向分析:IDA Freeware 7.6与Qt5程序解析》 在信息安全和软件调试领域,逆向工程是一项重要的技术。它允许我们理解原本封闭的二进制代码,揭示其内部工作机制。本文将深入探讨编译工具IDA Freeware ...
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
安卓逆向调试汇总
contrary_的博客
04-28 1330
给大家介绍一下调试汇总的原理及实现方式,以及各种调试的扩展 调试汇总: 针对于一些大型apk 调试不一定是让你不能调试 -> 让你得到一个错误的结果 逆向某一个算法 传参 中间会根据一些数据运算 如果检测到调试 计算错误 **1.IDA调试端口检测** 监测android_server文件端口信息 默认的23946(5D8A) 更改端口 31927 -> 过掉此调试 **2.调试器进程名检测** 监测android_server gdbserver gdb等进程
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
《Android软件安全与逆向分析》是一本深入探讨Android应用安全和逆向工程的书籍,带书签功能方便读者查阅和学习。在Android平台上,软件安全与逆向分析是极其重要的话题,因为随着移动设备的普及,恶意软件和隐私...
调试OD
06-21
调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
【CTF-Reverse】IDA动态调试,调试技术
WdIg-2023的博客
06-27 3068
在本专栏前两篇文章中,带领大家讲解了逆向加密算法,AES,TEA,RC4,Base64加密算法,并带领大家识别各种密码算法特征,这一篇文章来带领大家学习在逆向过程中的动态调试:IDA动态调试,调试技术。
18. OD-调试研究,破解调试,编写调试
墨痕诉清风的博客
03-04 6965
病毒、木马、外挂等必须要有的 “安全工作” 因为你一个安全软件一旦被成功调试了,就等同于被调戏了,一切主要操作顺序都被人掌握了,只要开发出逆向的突破即可。 我们要研究他们这些安全软件如何调试的 比如软件发现被OD打开,直接自爆。。。 开始 第一个程序 F8运行程序 找到了弹出调试报错的call F7 程序调用了 IsDebuggerPresent 函...
阿布debug调试插件使用
redis数据库安装及启用
09-01 774
阿布调试插件
r3调试
liuhaidon1992的博客
01-08 2078
R3调试方法非常多,且充斥着各种猥琐的方法。 1.调用API调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
XX游戏R3层调试 初探
把梦想放飞在蓝色的天空里...
12-24 8561
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
调试与调试的探究
2302_76827504的博客
04-13 129
最近在研究免杀这一块的知识,说到免杀肯定就逃不过沙箱。对于沙箱的通俗理解就是一个安全的箱子,这个箱子能够模拟出软件执行苏需要的环境(如模拟虚拟机环境),通过hook跳转到自己的函数进行行为分析。所以我们的后门文件想要更好的躲避杀软的查杀,首先肯定要做好调试才能在对抗杀软时后顾无忧。
JavaScript调试技术详解与应用
在JavaScript编程中,调试是一种重要的安全实践,尤其在防止恶意软件分析和逆向工程时显得尤为重要。本文重点讨论了几种常见的JavaScript调试技巧,以提高代码的安全性和隐私保护。 首先,检测未知的执行环境是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值