OD定位IsDebuggerPresent检测地址

最新推荐文章于 2023-03-14 22:50:01 发布
最新推荐文章于 2023-03-14 22:50:01 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: Cheat 文章标签: OD 逆向 函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42950931/article/details/86141868
版权
  1. 编写个小程序,调用IsDebuggerPresent来检测调试器是否存在

作者千越

2.打开原版汉化OD并附加到程序里,这里不能使用第三方OD,因为第三方OD集成了许多插件,有一定强度的反调试功能。
附加后,OD自动在模块入口处断下。
在这里插入图片描述
3.Ctrl+F9,执行到返回,程序跑起来之后再按Ctrl+N,调出来查看程序用了哪些模块命令。
找到了,这个程序调用了IsDebuggerPresent。
在这里插入图片描述

4.右键,这里我选择第一个,进入函数地址对应的汇编窗口
在这里插入图片描述
5.可以看到函数对应的代码段在这里插入图片描述
FS寄存器指向当前活动线程的TEB结构(线程结构)
偏移 说明
000 指向SEH链指针
004 线程堆栈顶部
008 线程堆栈底部
00C SubSystemTib
010 FiberData
014 ArbitraryUserPointer
018 FS段寄存器在内存中的镜像地址
020 进程PID
024 线程ID
02C 指向线程局部存储指针
030 PEB结构地址(进程结构)
034 上个错误号

由此可知,第一行的含义是获取PEB结构地址,并送入寄存器EAX里;
第二行的含义是EAX的地址再加上偏移2,再次送入寄存器EAX里;
第三行的含义是返回EAX的值。

给第一行代码下断点,然后F9运行起来,可以看到此时已经被断下,在栈窗口中看到了访问此地址的别的地址
在这里插入图片描述
6.点击栈窗口中的0146FB14(也就是第一行地址),回车,此时汇编窗口会切换到这个函数的地址
在这里插入图片描述
可以看到上面有个CALL,后面的备注就是这个函数,还看到下面有个检测到调试器的对话框,程序的检测逻辑一目了然

可乐LENG
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用OllyDbg从零开始Cracking 第十九章-OllyDbg反调试之IsDebuggerPresent.pdf
07-25
西班牙的一套OD使用教程,很不错。这是其中一部分。
od反调试技术
08-16
例如,FD_IsDebuggerPresent() 函数可以检测调试器的存在,FD_PEB_BeingDebuggedFlag() 函数可以检测进程的被调试标志,FD_Heap_HeapFlags() 函数可以检测堆栈的标志,FD_CheckRemoteDebuggerPresent() 函数可以检测...
常见反调试手段及其规避方法(一)-IsDebuggerPresent
weixin_34198797的博客
05-06 3509
2019独角兽企业重金招聘Python工程师标准>>> ...
IsDebuggerPresent() 函数检测进程是否运行在调试器的控制下
StudyRecord的专栏
02-15 954
<br />如题
反调试之IsDebuggerPresent()分析
sanqiuai的博客
08-04 779
哪个DLL导出了该函数? 查MSDN可知 学习一个函数最好的方式是在自己的程序里面调用该函数,并分析自己的程序,我用c写了一个简单的程序,函数不断循环打印“I am running…”,并不断检查是否程序被调试,如果程序被调试,则输出“软件正在被调试”,然后退出 如何找到main函数 打开OD附加调试 ...
OD 中 MFC 窗口回调函数定位
网瘾少年丶的博客
05-19 1016
瞎几吧写 winClass 中包含了回调函数地址, 这个地址在结构体中第二个 RegisterClass 参数是一个指针, 而这个参数中的第二个成员就是我们要找的回调函数地址, fllow in dis(进入回调函数中, 下一个断点) 在当前断点中下一个消息断点; B -> edit condition [esp+8] == 消息ID 条件...
VB.Programming.IsDebuggerPresent.code.rar_vb IsDebuggerPresent
09-21
在VB(Visual Basic)编程中,`IsDebuggerPresent`是一个非常关键的函数,它属于Microsoft Visual Studio的内置功能。这个函数允许程序员检测当前运行的应用程序是否正在被调试器调试。了解并熟练运用`...
易语言防OD附加
07-22
源码包"易语言防OD附加源码"很可能是提供了上述功能的实现,包括防止调试、动态获取函数地址、内存操作以及调试检测等。学习和分析这些源码,可以帮助开发者了解如何在易语言中实现这些安全措施,以增强程序的反调试...
易语言检测断点模块
08-15
易语言检测断点模块源码 系统结构:检测断点,取断点函数,CreateFile,IsDebuggerPresent,GetModuleHandle,GetProcAddress,LoadLibrary,CreateThread,CloseHandle, ======程序集1 | | | |------ _启动子程序 | | | |---...
第21章-OllyDbg反调试之检测OD进程名,窗口类名,窗口标题名1
08-03
这样可以防止该程序调用 IsDebuggerPresentOD 进行检测。 接下来,我们打开任务管理器,确保 OD 的进程名为"OLLYDBG.EXE"。然后,我们回到 buggers3,查看该程序使用了哪些 API 函数。我们发现 API 列表中只有...
od过壳检测
02-14
od过强壳检测 过VMP SE TMD壳的OD检测
最新OllyDBG调试工具过检测集成插件
05-26
破解利器,最新版,无广告,无其他垃圾快捷方式,真正绿色版!最新过游戏保护,集成多个插件
检测OD,非常好用
10-15
检测OD,非常好用!
通过OD死码写出找游戏程序基址
12-06
通过OD死码写出找游戏程序基址.游戏更新找基址是不是很麻烦,自己写个找基址程序呗,不要每星期都找得手忙脚乱。
目前最好用的OD,破洞过各种系统检测专用OD
04-23
目前最好用的OD,破洞过各种系统检测专用OD
OD查找 扫雷主窗口函数 地址
ShadowAssassin的专栏
09-10 4030
闲着没事,使用OD调试下扫雷程序,看了郁金香大牛的视频,OD载入扫雷程序,F9运行,查看——窗口(刷新),就可以看到主窗口地址,不知道什么原因,本机OD显示的地址是FFXXXXXXX地址,很明显不对,换了好几个系统也不正常。无奈,只好自己跟下。  一、OD打开扫雷程序,程序停在模块入口点出 二、ctrl + g 在 RegisterClassW函数出下断点 然后 F9运行,停
逆向OD分享-过检测插件-可过VMP等壳保护检测
最新发布
青月的成长记录吖
03-14 2777
很多新手在入门逆向的时候一般都是用的吾爱OD,吾爱OD现在已经很久没有更新了,新手使用此OD破解一般过不去VMP壳的保护,因此需要一个过检测OD来辅助破解,这里我分享一个我自己用的OD。希望能对你们有所帮助!
手工躲过IsDebugPresent检测
迷茫的探索
02-06 4264
当遇到某些壳或某个线程检测调试器时会比较郁闷。OllyDBG有专门的插件,但不知怎么的在我的计算机上一只不好使。对于IsDebugPresent检测方法有手工的方法首先,查看FS寄存器,跳转到FS[0],查看FS[30]单元,这个DWORD是一个地址,Follow进去,第三个字节就是指有没有附加调试器改成0就好了
QQ华夏 - 反调试对抗
Cussrro的博客
07-16 2965
实战中成长 - QQ华夏
第19章-OllyDbg反调试之IsDebuggerPresent1
08-03
在这个案例中,我们记得我们的OD只安装了命令栏插件,并没有安装绕过IsDebuggerPresent检测的插件,那么是如何使用IsDebuggerPresent检测OD的呢?如果我们按F9键让程序运行起来,我们会发现并没有弹出CrackMe窗口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值