-
-
程序的反调试
-
发表于:
2010-5-9 20:04
3857
-
以下是OD附加程序所断的位置
我用了StrongOD 插件
像出现以下情况 如果F8跳入 call dword ptr [ED6000E] 跟踪 关闭程序
如何绕过这调试呢,有什么办法 知道他是哪里跳入进来的
0ED60000 /EB 10 jmp short 0ED60012
0ED60002 |6A 00 push 0
0ED60004 |6A FE push -2
0ED60006 |FF15 0E00D60E call dword ptr [ED6000E] ntdll.ZwTerminateThread //跳到这里
0ED6000C ^|EB F4 jmp short 0ED60002
0ED6000E |3D 7C957C68 cmp eax, 687C957C
0ED60013 2000 and byte ptr [eax], al
0ED60015 D6 salc
0ED60016 0E push cs
0ED60017 33C0 xor eax, eax
0ED60019 64:FF30 push dword ptr fs:[eax]
0ED6001C 64:8920 mov dword ptr fs:[eax], esp
0ED6001F CC int3
0ED60020 90 nop //附加程序 断在这里
0ED60021 ^ EB DF jmp short 0ED60002
0ED60023 0000 add byte ptr [eax], al
0ED60025 0000 add byte ptr [eax], al
0ED60027 0000 add byte ptr [eax], al
0ED60029 0000 add byte ptr [eax], al
0ED6002B 0000 add byte ptr [eax], al
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!