1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】
A. 反调试技术(6)
B.
Hook和AntiHook
壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的
最早期直接在入口写入retn 10来直接返回,防止函数的调用
于是外壳也进行了改进:
校验调用的函数代码,必须为
mov eax, xxx
lea edx, [esp+4]
int 2eh
ret xxx
或
mov eax, xxx
mov edx, xxxxxxxx
call [edx]
retn xxx
这两种形式正是NativeAPI在Win2000和XP下的样子,除非被Hook否则不会有别的样子
于是改进型的Hook也诞生了
mov eax,