<逆向工程核心原理> 动态反调试技术总结

最新推荐文章于 2024-08-21 11:25:33 发布
最新推荐文章于 2024-08-21 11:25:33 发布
阅读量4k 收藏 7
点赞数
分类专栏: 反调试 Windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangmiaoping23/article/details/44593407
版权

1.异常-SEH

#include "stdio.h"
#include "windows.h"
#include "tchar.h"

void AD_BreakPoint()
{
    printf("SEH : BreakPoint\n");

    __asm {
        // install SEH
        push handler
        push DWORD ptr fs:[0]
        mov DWORD ptr fs:[0], esp
        
	//INT 3 指令是CPU中断命令,在用户模式的调试器啥都不做(经过调试发现不会触发ntdll.dll中的KiUserExceptionDispatcher)。
        // generating exception
        int 3

        // 1) debugging
        //    go to terminating code
        mov eax, 0xFFFFFFFF
        jmp eax                 // process terminating!!!

        // 2) not debugging
        //    go to normal code
handler:
        mov eax, dword ptr ss:[esp+0xc]
        mov ebx, normal_code
        mov dword ptr ds:[eax+0xb8], ebx
        xor eax, eax
        retn

normal_code:
        //   remove SEH
        pop dword ptr fs:[0]
        add esp, 4
    }

    printf("  => Not debugging...\n\n");
}

int _tmain(int argc, TCHAR* argv[])
{
    AD_BreakPoint();

    return 0;
}

注意:OD的异常选项 忽略int 3 中断必须不选,strongOD插件选项最好不用,才能进入指令

 mov eax, 0xFFFFFFFF

jmp eax

OD不能在int 3下断(F2),否则会循环进入异常地址 int 3.



2.异常-SetUnhandledExceptionFilter

#include "stdio.h"
#include "windows.h"
#include "tchar.h"

LPVOID g_pOrgFilter = 0;

LONG WINAPI ExceptionFilter(PEXCEPTION_POINTERS pExcept)
{
    SetUnhandledExceptionFilter((LPTOP_LEVEL_EXCEPTION_FILTER)g_pOrgFilter);

    // 8900    MOV DWORD PTR DS:[EAX], EAX
最低0.47元/天 解锁文章
双刃剑客
关注
专栏目录
逆向工程核心原理
weixin_30270815的博客
04-07 5129
关于逆向工程 代码逆向工程,是逆向工程在软件领域的应用。使用RCE、RE、逆向工程等简称。 分析逆向工程的方法有静态分析法和动态分析法。 静态分析法:是在不执行代码文件情形下,对代码静态分析的方法。不执行代码,而是观察代码外部特征,获取文件类型、大小、PE头信息、导入导出API、内部字符串、是否运行时解压缩、注册信息、调试信息、数字证书等信息。使用汇编工具查看内部代码、分析代码结构也属于静态分析。 动态分析法:程序文件执行过程中对代码进行动态分析。通过调试获得代码流,获得内存状态。通过动态分析法可以观察文
bouml 逆向分析c++_调试技术(以OD为例附核心原代码)-逆向工程
weixin_39612122的博客
12-22 388
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//*******...
逆向工程核心原理
weixin_34406061的博客
01-08 2142
逆向工程核心原理》 基本信息 作者: (韩)李承远    译者: 武传海 丛书名: 图灵程序设计丛书 出版社:人民邮电出版社 ISBN:9787115350183 上架时间:2014-4-15 出版日期:2014 年4月 开本:16开 页码:1 版次:1-1 所属分类:计算机 &gt; 软件工程及软件方法学 &gt; 综合   更多关于》》》《逆向工程核心原理》  ...
汇编用哪个软件好?看这篇就够了(建议收藏)!
最新发布
2301_77472496的博客
08-21 1109
在市场上存在多种汇编软件,每一款都有其独特的特性和使用场景。下面将列举几款常用且功能强大的汇编软件,并进行简要分析。
逆向工程核心原理:代码注入】
qq_42363151的博客
03-24 1677
c代码注入和汇编代码注入
逆向工程Android应用中的调试逆向技术
# 一、引言 ## Android应用逆向工程的背景和意义 Android应用的逆向工程是指通过分析、破解和修改Android应用的代码、...调试逆向技术是保护应用不被逆向工程分析的重要手段,它可以有效防止黑客和攻击者利用
逆向工程核心原理总结之入门介绍
weixin_44022769的博客
02-25 672
       程序调试有静态调试动态调试两种。静态调试是指将程序源代码编译成可执行程序之前,用手工或编译程序等方法对程序源代码进行测试,来查找和修正程序中的语法错误和逻辑错误。动态调试则是在可执行程序的运行过程中,来查找和修正程序中的语法错误和逻辑错误。随着系统安全与逆向工程的不断发展,程序调试已经成为信息安全爱好者所必备的一种技术。 ​       汇编是将汇编代码编译、链接成可执行文件的过...
逆向工程核心原理(1)逆向基础
qq_30379221的博客
03-16 1052
所有资源可以在官网下载 代码逆向工程 逆向分析法 静态分析 不执行代码,观察外部特征,获取其文件类型、大小、PE头、Import/Export API、字符串、是否运行时解压缩、注册信息、调试信息、数字证书、汇编代码等 动态分析 在程序文件执行的过程中对代码进行分析。 一般首先静态分析,再进行动态分析。 逆向Hello World 代码如下: #include<windows.h>...
逆向工程核心原理:abex's crackme#1 0x02 190603
爱党人士
06-03 536
中间介绍的寄存器,栈什么的都是汇编基础, 注意16位和32位的区别即可。 abex’s crackme 是一个著名的简单小程序。 初学者也会容易理解。 下载见上几遍的云盘链接的文件。 首先打开,看看是什么类型的, 继续点, ok,大概知道这是判断你的电脑c驱动器类型,然后返回正确或者error, right,拉进od, main函数直接位于ep,用汇编语言编写的程序实锤了。 果然, 那么直接...
脱壳的艺术(逆向工程、壳、保护、调试逆向)
11-20
网上找到的关于脱壳的介绍,发出来让大家共享
protobuf-inspector, 使用未知定义向工程协议缓冲区的工具.zip
09-17
protobuf-inspector, 使用未知定义向工程协议缓冲区的工具 protobuf检查器可以解析 Protobuf的简单程序encode不知道它的伴随定义就编码 blob ( 版本 2或者 3 ) 。 它会打印出一个漂亮的颜色表示。 例如: 如你所见,字段名显然丢失,以及一些高级细节,如:v
逆向工程核心原理-逆向基础(基于Ollydbg201与Hello World的逆向调试
m0_74220316的博客
07-06 1293
我们编写的源码经过编译转化为exe可执行文件,而exe则是二进制文件,在分析二进制文件时,为了更好地理解它,我们通过调试器进行汇编处理,将二进制代码转化为汇编语言指令代码。
逆向工程核心原理1:基本介绍
dengshengli123的博客
06-25 1954
逆向工具主要分为以下几种,每种对应特定的用途IDA pro :    主要用于静态分析,能够还原成C代码Ollydbg :    主要用于动态进程调试,能够直接挂载进程进行内存修改(例如外挂等)ProcessExplorer :    进程查看工具。。。。。。。。。。。。。文章未完,后续需要持续补充。。。。。。。。。...
逆向工程核心原理——代码注入
weixin_46601374的博客
12-22 3215
什么是代码注入? 代码注入是一种向目标进程插入独立运行代码并使之运行的技术,它一般调用CreateRemoteThread()API以远程线程形式运行插入的代码,所以也被称为线程注入。 使用代码注入的原因 其实,代码注入要实现的功能与DLL注入类似,但具体实施时要考虑的事项更多,使用起来 更加不便。那它的优点究竟是什么呢? 1.占用内存少 如果要注入的代码与数据较少,那么就不需要将它们做成DLL的形式再注入。此时直接采用 代码注入的方式同样能够获得与DLL注入相同的效果,且占用...
逆向工程核心原理 小结
TuxedoLinux的博客
07-15 1127
C语言结构体学习小结 1.首先,数据类型是固定大小内存块的别名。 typedef struct man //这里的struct man 相当于一个类型 { int age; //man man1; //失败,因为递归调用自己,并不知道自己的大小,分配不了内存 }man; typedef struct man {...
逆向工程核心原理 第一章
王嘟嘟的博客
03-16 435
笔记 老婆学校又要求开始学pc逆向了,恩,我也跟着一起学,好给老婆教。我爱老婆。 1.代码逆向工程 代码逆向工程,PCE 1.1 逆向分析法 1.静态分析法。 2.动态分析法。 ...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值