windows调试与反调试复习笔记

最新推荐文章于 2024-04-09 11:13:14 发布
最新推荐文章于 2024-04-09 11:13:14 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: windows 软件调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/94002643
版权

反调试分类

1、检测断点(软件断点,硬件断点,内存断点)
2、各种标记检测(单步标记,内存标记,内核对象,调试端口等)
3、进程名字,窗口及其类名检测
4、文件完整性检测

软件断点

TLS回调函数先于程序入口执行,调试器加载主程序的时候会在OEP处设置软件断点,通过TLS回调得到程序的OEP然后判断入口判断是否为int 3断点
即可判断是否有调试器。当然回调函数也可以有其他的反调试手法。

ypedef struct _IMAGE_TLS_DIRECTORY32 {
    DWORD   StartAddressOfRawData; TLS初始化数据的起始地址
    DWORD   EndAddressOfRawData;  TLS初始化数据的结束地址  两个正好定位一个范围,范围放初始化的值
    DWORD   AddressOfIndex;              TLS 索引的位置
    DWORD   AddressOfCallBacks;          Tls回调函数的数组指针
    DWORD   SizeOfZeroFill;  填充0的个数
    union {
        DWORD Characteristics; 保留
        struct {
            DWORD Reserved0 : 20;
            DWORD Alignment : 4;
            DWORD Reserved1 : 8;
        } DUMMYSTRUCTNAME;
    } DUMMYUNIONNAME;

} IMAGE_TLS_DIRECTORY32;

void    TlsCallBackFunction1(PVOID h, DWORD reason, PVOID pv)
{	//仅在进程初始化创建主线程时执行的代码

	if( reason == DLL_PROCESS_ATTACH )
{
		IMAGE_DOS_HEADER*dos_head=(IMAGE_DOS_HEADER*)GetModuleHandle(NULL);
	PIMAGE_NT_HEADERS32 	nt_head=(PIMAGE_NT_HEADERS32)((DWORD)dos_head+(DWORD)dos_head->e_lfanew);
	BYTE*OEP=(BYTE*)(nt_head->OptionalHeader.AddressOfEntryPoint+(DWORD)dos_head);
		for(unsigned long index=0;index<200;index++){??断点不都在oep前面么
			if(OEP[index]==0xcc){
				ExitProcess(0);
			}
		}
	}
	return;
}

TLS参考资料https://www.cnblogs.com/iBinary/p/7697355.html

IsDebuggerPresent检测调试原理

BOOL WINAPI IsDebuggerPresent(void);
它是个检测调试的api函数。实现更简单,只要调用IsDebuggerPresent就可以了。
在调用它之前,可以加如下代码,以用来检测是否在函数头有普通断点,或是否被钩挂。 
  if(*(BYTE*)Func_addr==0xcc) 
    return true; 
mov eax,dword ptr fs:[18]        // _NT_TIB 
mov eax,dword ptr ds:[eax+30]    // PEB
movzx eax,byte ptr ds:[eax+2]     //BeingDebugged 
Retn
Livekd查看符号表 (放在windbg目录下) 下载地址:
https://technet.microsoft.com/en-us/sysinternals/bb897415.aspx

fs:[0]指向线程环境块TEB;
0: kd> dt _nt_tib
ntdll!_NT_TIB
   +0x000 ExceptionList    : Ptr32 _EXCEPTION_REGISTRATION_RECORD
   +0x004 StackBase        : Ptr32 Void
   ………………
   +0x014 ArbitraryUserPointer : Ptr32 Void
   +0x018 Self             : Ptr32 _NT_TIB  ------------------这里指向了自身??既然指向自身直接用不就好了?
0: kd> dt _teb
ntdll!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID
   +0x028 ActiveRpcHandle  : Ptr32 Void
   +0x02c ThreadLocalStoragePointer : Ptr32 Void--------------这里指向了TLS
   +0x030 ProcessEnvironmentBlock : Ptr32 _PEB----------------这里指向了PEB
0: kd> dt _peb
ntdll!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar----------------------------这里有个标记
   其实这个函数在检测peb里面的BeingDebugged的标记。

HWBP_Exception (硬件断点)

就是初始化一个异常handler,手动触发异常。

通过SEH查询context里面的DRX寄存器是否为0

__asm 
  { 
    push   offset exeception_handler; set exception handler 
    push   dword ptr fs:[0h] 
    mov    dword ptr fs:[0h],esp   
    xor    eax,eax;reset EAX invoke int3 
    int    1h  //int1的DPL为0,这表示"cd 01"机器码不能在3环下执行
    pop    dword ptr fs:[0h];restore exception handler 
    add    esp,4 
    ;test if EAX was updated (breakpoint identified)  
    test   eax,eax 
    jnz     rt_label 
    jmp    rf_label 
	
exeception_handler: 
    ;EAX = CONTEXT record 
    mov     eax,dword ptr [esp+0xc] 
    cmp     dword ptr [eax+0x04],0 //dr0到4
    jne     hardware_bp_found 
    cmp     dword ptr [eax+0x08],0 //dr0到4
    jne     hardware_bp_found 
    cmp     dword ptr [eax+0x0c],0 
    jne     hardware_bp_found 
    cmp     dword ptr [eax+0x10],0 
    jne     hardware_bp_found 
    jmp     exception_ret 
hardware_bp_found: 
    ;set Context.EAX to signal breakpoint found 
    mov     dword ptr [eax+0xb0],0xFFFFFFFF 
exception_ret: 
    ;set Context.EIP upon return 
    inc       dword ptr [eax+0xb8];set ContextRecord.EIP 
    inc       dword ptr [eax+0xb8];set ContextRecord.EIP 
    xor     eax,eax 
    retn

OD_Exception_GuardPages

“保护页异常”是一个简单的反调试技巧。当应用程序尝试执行保护页内的代码时,将会产生一个EXCEPTION_GUARD_PAGE(0x80000001)异常,但如果存在调试器,调试器有可能接收这个异常,并允许该程序继续运行,事实上,在
OD中就是这样处理的,OD使用保护页来实现内存断点。 
 
lptmpB=(BYTE *)lpvBase; 
  *lptmpB=0xc3;//retn 
  VirtualProtect(lpvBase,dwPageSize,PAGE_EXECUTE_READ |PAGE_GUARD,&flOldProtect); 
  __try  { 
    __asm  call dword ptr[lpvBase]; 
    VirtualFree(lpvBase,0,MEM_RELEASE); 
    return true; 
  } 
  __except(1)  { 
    VirtualFree(lpvBase,0,MEM_RELEASE); 
    return false; 
  } 

标记检测

PEB_NtGlobalFlags 
PEB中还有其它FLAG表明了调试器的存在,如NtGlobalFlags。检测NtGlobalFlags的方法如下,这个方法在ExeCryptor中使用过。 
__asm 
  { 
    mov eax, fs:[30h] 
    mov eax, [eax+68h] 
    and eax, 0x70 
    test eax, eax 
    jne rt_label
    jmp rf_label
rt_lable:
    return true;
rf_label:
    return false;
}

Heap_HeapFlags

同样,调试器也会在堆中留下痕迹,你可以使用kernel32_GetProcessHeap()函数,如果你不希望使用api函数(以免暴露),
则可以直接在PEB中寻找。同样的,使用HeapFlags和后面提到的ForceFlags来检测调试器也不是非常可靠,但却很常用。 
这个域由一组标志组成,正常情况下,该值应为2。 
  __asm 
  { 
    mov eax, fs:[30h] 
    mov eax, [eax+18h] ;PEB.ProcessHeap 
    mov eax, [eax+0ch] ;PEB.ProcessHeap.Flags 
    cmp eax, 2 
    jne rt_label 
    jmp rf_label 
  } 

Heap_ForceFlags 

进程堆里另外一个标志,ForceFlags,它也由一组标志组成,正常情况下,该值应为0。 
  __asm 
  { 
    mov eax, fs:[30h] 
    mov eax, [eax+18h] ;PEB.ProcessHeap 
    mov eax, [eax+10h] ;PEB.ProcessHeap.ForceFlags 
    test eax, eax 
    jne rt_label 
    jmp rf_label 
  } 

Heap_Tail 

如果处于调试中,堆尾部也会留下痕迹。标志HEAP_TAIL_CHECKING_ENABLED 将会在分配的堆块尾部生成两个
0xABABABAB。如果需要额外的字节来填充堆尾,HEAP_FREE_CHECKING_ENABLED标志则会生成0xFEEEFEEE。  

    mov eax, buff 
    ;get unused_bytes 
    movzx ecx, byte ptr [eax-2] 
    movzx edx, word ptr [eax-8] ;size 
    sub eax, ecx 
    lea edi, [edx*8+eax] 
    mov al, 0abh 
    mov cl, 8 
    repe sca** 

StartupInfo结构

Windows操作系统中的explorer.exe创建进程的时候会把STARTUPINFO结构中的值设为0,(有的程序也不是explorer启动的)
而非explorer.exe创建进程的时候会忽略这个结构中的值,也就是结构中的值不为0,所以可以利用这个来判断OD是否在调试程序.
    typedef struct _STARTUPINFO
{
   DWORD cb;            0000 
   PSTR lpReserved;        0004
   PSTR lpDesktop;         0008
   PSTR lpTitle;            000D
   DWORD dwX;           0010
   DWORD dwY;           0014
   DWORD dwXSize;        0018
   DWORD dwYSize;        001D
   DWORD dwXCountChars;  0020
   DWORD dwYCountChars;  0024
   DWORD dwFillAttribute;   0028
   DWORD dwFlags;         002D
   ……….
   ………
}

CheckRemoteDebuggerPresent

查询一个在winnt时就有的一个数值,其内部会调用NtQueryInformationProcess(): 
  FARPROC Func_addr ; 
  HMODULE hModule = GetModuleHandle("kernel32.dll"); 
  if (hModule==INVALID_HANDLE_VALUE) 
    return false; 
  (FARPROC&) Func_addr =GetProcAddress(hModule, "CheckRemoteDebuggerPresent"); 
  if (Func_addr != NULL)  
  { 
    __asm  
    { 
      push  eax; 
      push  esp; 
      push  0xffffffff; 
      call  Func_addr; 
      test  eax,eax; 
      je    rf_label; 
      pop    eax; 
      test  eax,eax 
      je    rf_label; 
      jmp    rt_label; 
  }

NtQueryInformationProcess(
    __in HANDLE ProcessHandle,
    __in PROCESSINFOCLASS ProcessInformationClass,
    __out_bcount(ProcessInformationLength) PVOID ProcessInformation,
    __in ULONG ProcessInformationLength,
    __out_opt PULONG ReturnLength
    )
typedef enum _PROCESSINFOCLASS {
    ProcessBasicInformation,   //
……
ProcessDebugPort,        //
  …….
ProcessIoPortHandlers,          // Note: this is kernel mode only
…….
此函数用于返回目标进程的各类信息。
ProcessBasicInformation(0x0)--可检测目标进程的父进程,如果程序被调试,则父进程是调试器。 双击起来的父进程是explorer.exe,被调试的程序的父进程是调试器。
ProcessDebugPort(0x07) -- 如果目标进程正在被调试,系统会为进程分配一个调试端口。通过此参数调用NtQueryInformationProcess则返回调试端口号,
返回0表示当前无调试器附在进程上,反之则被调试。
ProcessDebugFlags(0x1f) -- 此时函数返回EPROCESS->NoDebugInherit域的值。为0表示进程正处于调试状态。
ProcessDebugObjectHandle---ProcessInfo.ObjectHandle查询这个句柄的数值,非零表示有调试器的存在。

关于内部怎么调用的NtQueryInformationProcess,参考博客https://blog.csdn.net/hgy413/article/details/7996652

SeDebugPrivilege()  

  当一个进程获得SeDebugPrivilege,它就获得了对CSRSS.EXE的完全控制,这种特权也会被子进程继承,也就是说一
个被调试的程序如果获得了CSRSS.EXE的进程ID,它就可以使用openprocess操作CSRSS.EXE。获得其进程ID有很多种方法,如Process32Next,或NtQuerySystemInformation,在winxp下可以使用CsrGetProcessId。 
    hTmp=OpenProcess(PROCESS_ALL_ACCESS,false,PID_csrss); 
    if(hTmp!=NULL) 
    { 
      CloseHandle(hProcessSnap ); 
      return true; 
    } 

DebugObject

NTSTATUS  NtQueryObject (
    __in HANDLE Handle,
    __in OBJECT_INFORMATION_CLASS ObjectInformationClass,
    __out_bcount_opt(ObjectInformationLength) PVOID ObjectInformation,
    __in ULONG ObjectInformationLength,
    __out_opt PULONG ReturnLength
    )
typedef struct _OBJECT_TYPE_INFORMATION{
     UNICODE_STRING        TypeName;
     ULONG                       TotalNumberofHandles;
     ULONG                       TotalNumberofObjects;
。。。。。
}
TypeName成员与UNICODE字符串"DebugObject"比较,然后检查TotalNumberofObjects 或 TotalNumberofHandles 是否为非0值。

Closehandle 

如果给CloseHandle()函数一个无效句柄作为输入参数,在无调试器时,将会返回一个错误代码,而有调试器存在时,
将会触发一个EXCEPTION_INVALID_HANDLE (0xc0000008)的异常。 
  __try   
  { 
    CloseHandle(HANDLE(0x00001234)); 
    return false; 
  } 
  __except(1) 
  { 
    return true; 
  } 

Exception_Popf()

我们都知道标志寄存器中的陷阱标志,当该标志被设置时,将产生一个单步异常。在程序中动态设置这给标志,如果处
于调试器中,该异常将会被调试器捕获。 
可通过下面的代码设置标志寄存器。 
    pushf  
    mov dword ptr [esp], 0x100 
    popf 

通过Int3产生异常中断的反调试比较经典。当INT3 被执行到时, 如果程序未被调试, 将会异常处理器程序继续执行。而INT3指令常被调试器用于设置软件断点,int 3会导致调试器误认为这是一个自己的断点,从而不会进入异常处理程序。 

OutputDebugString() 

  在有调试器存在和没有调试器存在时,OutputDebugString函数表现会有所不同。最明显的不同是, 如果有调试器存在,
其后的GetLastError()的返回值为零。 
  OutputDebugString(""); 
  tmpD=GetLastError(); 
  if(tmpD==0) 
    return true; 
  return false; 

INT_2d指令

在windows anti-debug reference中指出,如果程序未被调试这个中断将会生产一个断点异常. 被调试并且未使用跟踪标志
执行这个指令, 将不会有异常产生程序正常执行. 如果被调试并且指令被跟踪, 尾随的字节将被跳过并且执行继续. 因
此, 使用 INT 2Dh 能作为一个强有力的反调试和反跟踪机制。 
  __try 
  { 
    __asm 
    { 
        int 2dh 
        inc eax;any opcode of singlebyte. 
      ;or u can put some junkcode,"0xc8"..."0xc2"..."0xe8"..."0xe9" 
    } 
     return true; 
  } 
  __except(1) 
  { 
    return false; 
  }

ZwYieldExecution

这个函数可以让任何就绪的线程暂停执行,等待下一个线程调度。
当前线程放弃剩余时间,让给其他线程执行。如果没有其他准备好的线程,该函数返回false,否则返回true。
当前线程如果被调试,那么调试器线程若处于单步状态,随时等待继续运行,则被调试线程执行NtYieldExecution时,调试器线程会恢复执行。
此时NtYieldExecution返回true,该线程则认为自身被调试了。

窗口检测

对于FindWindow,EnumWindow等查找调试器窗口获取标题进行反调试,可以用spy++进行查看
EnumProcess等对进程名称进行枚举查找调试器进程进行反调试。
调试工具通常会使用内核驱动,因此如果尝试是否可以打开一些调试器所用到的设备,就可判断是否存在调试器。
常用的设备名称如下: 
\\.\SICE  (SoftICE) 
\\.\SIWVID(SoftICE)     
\\.\NTICE  (SoftICE)     
\\.\REGVXG(RegMON) 
\\.\REGVXD(RegMON) 
\\.\REGSYS(RegMON) 
\\.\REGSYS(RegMON) 
\\.\FILEVXG(FileMON) 
\\.\FILEM(FileMON) 
\\.\TRW(TRW2000) 

NtSetInformationThread

NTSTATUS
NtSetInformationThread(
    __in HANDLE ThreadHandle,
    __in THREADINFOCLASS ThreadInformationClass,
    __in_bcount(ThreadInformationLength) PVOID ThreadInformation,
    __in ULONG ThreadInformationLength
    )
当参数ThreadInformationClass的值为ThreadHideFromDebugger(0x11)时,
此函数可以用来防止调试事件被发往调试器。
 

typedef enum _THREADINFOCLASS {
    ThreadBasicInformation,
……..
ThreadHideFromDebugger,   //0x11
    ThreadBreakOnTermination,
    ThreadSwitchLegacyState,
    ThreadIsTerminated,
    MaxThreadInfoClass
} THREADINFOCLASS

OD_Int3_Pushfd(CC 9D)

int3,pushfd和int3,popfd一样的效果。只要修改int3后面的popfd为其他值,
    OD都能通过。SEH异常机制的运用而已。
    原理:在SEH异常处理中设置了硬件断点DR0=EIP+2,并把EIP的值加2,那么应该在int3,popfd后面的指令执行时会产生单步异常。
但是OD遇到前面是popfd/pushfd时,
OD会自动在popfd后一指令处设置硬件断点,而VMP的seh异常处理会判断是否已经设置硬件断点,如果已经有硬件断点就不产生单步异常,所以不能正常执行。
 

Pushf将会被执行,同时调试器无法设置压进堆栈的陷阱标志,应用程序通过检测陷阱标志就可以判断处是否被跟踪调试。 
PushSS_PopSS 
push ss    //反跟踪指令序列 
pop  ss    //反跟踪指令序列 
pushf    //反跟踪指令序列    这条执行之后看堆栈里的flag值
pop eax    //反跟踪指令序列 

RDTSC 

通过检测某段程序执行的时间间隔,可以判断出程序是否被跟踪调试,被跟踪调试的代码通常都有较大的时间延迟,检
测时间间隔的方法有很多种。比如RDTSC指令,kernel32_GetTickCount函数,winmm_ timeGetTime 函数等等。 
下面为RDTSC的实现代码。 
  int time_low,time_high; 
  __asm 
  { 
    rdtsc 
    mov    time_low,eax 
    mov    time_high,edx 
  } 

参考资料

https://www.freebuf.com/articles/others-articles/181085.html

https://blog.csdn.net/zhuhuibeishadiao/article/details/51229201

 

kernweak
关注
专栏目录
[系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析
杨秀璋的专栏
02-22 6239
作者前文介绍了微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。这篇文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
种类齐全的调试调试,来自GitHub
12-06
## Features ### Anti-debugging attacks - IsDebuggerPresent - CheckRemoteDebuggerPresent - Process Environement Block (BeingDebugged) - Process Environement Block (NtGlobalFlag) - ProcessHeap (Flags) - ProcessHeap (ForceFlags) - NtQueryInformationProcess (ProcessDebugPort) - NtQueryInformationProcess (ProcessDebugFlags) - NtQueryInformationProcess (ProcessDebugObject) - NtSetInformationThread (HideThreadFromDebugger) - NtQueryObject (ObjectTypeInformation) - NtQueryObject (ObjectAllTypesInformation) - CloseHanlde (NtClose) Invalide Handle - SetHandleInformation (Protected Handle) - UnhandledExceptionFilter - OutputDebugString (GetLastError()) - Hardware Breakpoints (SEH / GetThreadContext) - Software Breakpoints (INT3 / 0xCC) - Memory Breakpoints (PAGE_GUARD) - Interrupt 0x2d - Interrupt 1 - Parent Process (Explorer.exe) - SeDebugPrivilege (Csrss.exe) - NtYieldExecution / SwitchToThread - TLS callbacks ### Anti-Dumping - Erase PE header from memory - SizeOfImage ### Timing Attacks [Anti-Sandbox] - RDTSC (with CPUID to force a VM Exit) - RDTSC (Locky version with GetProcessHeap & CloseHandle) - Sleep -> SleepEx -> NtDelayExecution - Sleep (in a loop a small delay) - Sleep and check if time was accelerated (GetTickCount) - SetTimer (Standard Windows Timers) - timeSetEvent (Multimedia Timers) - WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject - WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (todo) - IcmpSendEcho (CCleaner Malware) - CreateWaitableTimer (todo) - CreateTimerQueueTimer (todo) - Big crypto loops (todo) ### Human Interaction / Generic [Anti-Sandbox] - Mouse movement - Total Physical memory (GlobalMemoryStatusEx) - Disk size using DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO) - Disk size using GetDiskFreeSpaceEx (TotalNumberOfBytes) - Mouse (Single click / Double click) (todo) - DialogBox (todo) - Scrolling (todo) - Execution after reboot (todo) - Count of processors (Win32/Tinba - Win32/Dyre) - Sandbox k
调试调试
m0_55875295的博客
05-27 494
1.DebugPort 2.KdDisableDebugger, 禁用内核调试 KdEnableDeu
调试调试
zhuhuibeishadiao
03-31 5640
1-DebugPort 2-KdDisableDebugger 3-IsDebuggerPresent和CheckRemoteDebuggerPresent 4-hook http://www.moguizuofang.com/bbs/thread-3235-1-1.html http://bbs.pediy.com/showthread.php?t=126802 http
Java代码安全01--调试调试
划水的小白白
10-12 965
一、Java调试 1.1、概念 1.2、调试方式 1.3、调试工具 二、IDEA具体的调试方法 2.1、存在源代码的情况下 2.2、不存在源码,但是有jar包 2.3、单个class文件 三、调试 3.1、场景 3.2、IDEA调试的原理 3.3、如何解决
常见Windows调试手段
Snake_74的博客
06-30 1723
文章目录检测数据结构BeingDebuged(字段检测)检测ProcessHeap属性判断STARTUPINFO信息NtGlobalFlagbypass添加IMAGE_LOAD_CONFIG_DIRECTORY结构API调试NtQueryInformationProcessGetLastError**ZwSetInformationThread**系统痕迹查找调试器引用的注册表项查找窗体信息查找...
调试学习
haodawei123的博客
12-18 233
1、PEB调试 BeingDebugged :1 NtGlobalFlag :0x70 ```cpp #include "..//ntdll//ntdll.h"//导入ntdll.h头文件 #pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库 #define OUTMESSAGE(a,b) printf("%-36s %s\n",...
C语言复习笔记-day3
08-07
【C语言复习笔记-day3】 在C语言的学习中,我们继续深入探讨了各种核心概念。以下是一些重要的知识点总结: 1. **printf 函数**:`printf`是用于输出格式化字符串的函数,若要使其在窗口停留更长时间,可以使用...
加密与解密 调试篇(一)
weixin_37665575的博客
10-08 730
加密与解密 调试篇(一) 文章目录加密与解密 调试篇(一)前言调试器原理笔记调试技术概览断点单步执行输出调试信息日志事件追踪栈回溯《Python灰帽子》软断点硬件断点内存断点 前言 现在开始对《加密与解密》第二篇的内容开始学习回顾。第二部分被称为“调试篇”,从内容上看主要涵盖对常见调试器与编译器的介绍与使用。根据自己的计划,在每部分把涉及的常见工具进行复习回顾,对使用不熟练的工具进行重点学习,对这些工具背后的技术原理进行学习剖析。原理剖析方面目前应该不会进行很深,一是自己积累达不到,二是自己也是在熟悉学习
VB6.0 FINDWINDOW检测窗体调试.rar
07-10
VB6.0 FINDWINDOW检测窗体调试,软件防破解技术中的一个子程序例子,检测窗体调试的代码,仅供参考。
用GetTickCount API函数写的一个Timer 类[TimerClass1.rar]-精品源代码
10-11
用GetTickCount API函数写的一个Timer 类[TimerClass1.rar]-精品源代码
利用gettickcount动态值和密码对文件进行加密
07-21
利用gettickcount动态值和密码对文件进行加密,VC++中数据动态位算法加密技术的新实现与应用。 1.获取系统时间systime,运行时间runtime,用户密码password 三个参数备用 2.数据内容text 用runtime加密 3.追加123固定个标志 4.追加10个runtime 5.追加10个systime 6.追加32个password (与systime+runtime 计算 )
【专栏必读】王道考研408计算机组成原理万字笔记、题目题型总结、注意事项、目录导航和思维导图
热门推荐
快乐江湖的博客
10-09 7万+
文章目录一:有关注意事项二:关于专栏三:学习建议四:各专栏导航与思维导图(更新中,工作量较大)第一章:计算机系统概述第一节:计算机发展历程第二节:计算机硬件组成第三节:计算机层次结构(4)第四节:计算机性能指标 首先感谢王道大大(手动比心) 一:有关注意事项 本文是《2022王道考研计组》所总结的笔记 王道考研计组在b站有分享,地址为点击跳转 所用教材为《2022年计算机组成原理考研复习指导》 需要pdf版的请点击:(内含电子版目录方便查阅) 二:关于专栏 1:内容主要以王道计组视频课
FZU数据库系统原理复习笔记
AVICIIl的博客
12-23 1780
福州大学数据库系统原理期末考试重点整理2021年程烨班
调试调试系列丨跑的比main快的调试
qq_44005305的博客
08-27 157
5.1 选择属性5.2修改运行库,应用6.添加#include、#include7.向链接器声明,要使用TLS8.复制PIMAGE_TLS_CALLBACK里的三个参数9.完成注册TLS函数的回调10.重新生成->运行发现没有运行到main函数11.加断点,再运行发现还是运行不起来.但是直接运行,可以正常打印,正常停止12.试下其他调试器12.1在od里运行:发现不能进入主模块12.2在IDA里打开:Ida会自动停在main函数上,意味着静态调试也发现不了TLS。
android 多线程调试,64位内核开发第五讲,调试调试
weixin_35775608的博客
05-25 176
调试调试一丶调试的几种方法1.DebugPort端口清零debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了也就是说你不能单步了.等相关调试操作了.如果做调试.开启一个线程.不断的对这个DebugPort进行清零.进而进行调试.思路:1.找到当前进程的EPROCESS结构2...
[安卓逆向]常见调试调试及解决方案
最新发布
杰孑的博客
04-09 1951
我们在逆向软件时难免会遇到一些调试策略,这篇文章就来详细总结下,现阶段比较流行的几种调试策略及解决方案。
调试技巧总结-原理和实现
weixin_30535843的博客
06-07 424
来源:http://bbs.pediy.com/showthread.php?t=70470 作者:shellwolf 时间:2008-08-10,22:40:53 一、 前言 前段学习调试和vc,写了antidebug-tester,经常会收到message希望交流或索要实现代码,我都没有回复。其实代码已经在编程版提供了1个版本,另其多是vc内嵌asm...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值