首页
社区
课程
招聘
如何找到反汇编软件进程的“特征”?
发表于: 2009-11-16 17:19 5073

如何找到反汇编软件进程的“特征”?

2009-11-16 17:19
5073
举个例子,遍历窗口,如果找到一个窗口名字叫“OllyICE”,说明反汇编软件OllyICE在运行,然后我们就退出就好了,当然这样很弱,如果用一些插件隐藏OllyICE的标题,这个方法就失效了,另外如果OllyICE啥也没干,或者正在反汇编其他软件,就会被“误会”。
请问,能否找到一些反汇编软件(OllyDBG, OllyICE等)进程的“特征”,然后枚举所以进程,查找特征来防止被反编译,从而达到保护软件的目的呢?
本人很菜,也不知道说明白了没有,失误之处还请大侠赐教。。。
枚举窗口方法的代码
	HWND hAll = ::GetDesktopWindow();
	HWND hCurrent = ::GetNextWindow(hAll, GW_CHILD);
	char szTittleDbg[256] = {0};
	char *p = NULL;
	while (hCurrent != NULL)
	{
		::GetWindowText(hCurrent, szTittleDbg, 256);
		int iStrLength = strlen(szTittleDbg);
		if (iStrLength == 0)
		{
			hCurrent = ::GetNextWindow(hCurrent, GW_HWNDNEXT);
			continue;
		}
		if (strcmp("OllyICE" , szTittleDbg) == 0)
		{
        exit(0);
		}		
		hCurrent = ::GetNextWindow(hCurrent, GW_HWNDNEXT);
	}

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 2513
活跃值: (620)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
现在的anti-antiDbg那么强悍,即使LZ实现了所谓的特征锁定,这种方法好像也强不到哪儿去
2009-11-16 17:26
0
雪    币: 458
活跃值: (421)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
3
难道要想更好的保护软件  只有靠壳来保护了么?壳好像好难  暂时研究不了啊
嗯,你说的好像很有道理,只有自己研究出猛壳+一些猛的算法  才是安全的。。。
2009-11-16 17:36
0
雪    币: 76
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
看一下OD的Hide OD插件的选项 就可以明白 一些检测调试器的方法了
异常和内存修改检测用的比较多,就是为什么一些强壳都不能下 软断点的原因
2009-11-16 18:28
0
雪    币: 2513
活跃值: (620)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
没有绝对的安全,只有相对的安全。壳经历了这么多年的发展,特别是目前一些强壳,在软件保护上可以说是独具特色,真正能搞动的都是牛人,我觉得起码相对于你的“特征比对”要安全稳定的多。特征比对还存在失误的问题,不跟杀软的特征码一个道理么?
2009-11-17 08:15
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
恩  我觉的可以啊 好多的壳都有侦测反编译软件的能力 所以才 会出现 hide ollyice  这个插件  O(∩_∩)O~ 不过 能防一些 菜鸟  这是我滴鄙见
2009-11-17 10:41
0
雪    币: 161
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
防我们这些菜鸟有什么用,菜鸟搞不了,能搞的大牛你也防不住,VMP都被牛人搞了,你算法还能猛到什么程度,笑话
2009-11-17 17:04
0
雪    币: 2242
活跃值: (488)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
8
前段时间碰到个壳,就如楼主所说的遍历进程,
然后Read指定的两个地址来判断是不是od1.1的,
直接把OpenProcess给Hook了,就过了
2009-11-17 17:18
0
雪    币: 458
活跃值: (421)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
9
这伙计的态度有点问题哦~  什么东西不得一步一步的来?你一口能吃个胖子吗 不得先防菜鸟然后防大牛吗
2009-11-19 12:01
0
雪    币: 362
活跃值: (25)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
10
首先, 如果你ring 3枚举进程, 根本过不了OD的驱动插件, 即使你有特征也扫不到OD进程, 其次,假设你可以扫到OD, 用一般的取特征方法还要考虑OD是否加壳的问题,就像杀软特征识别还要搞虚拟机脱壳引擎一样.其成本太高,建议还是用Anti-Debug吧.
2009-11-19 17:24
0
游客
登录 | 注册 方可回帖
返回
//