首页
社区
课程
招聘
程序的反调试
发表于: 2010-5-9 20:04 3886

程序的反调试

2010-5-9 20:04
3886
以下是OD附加程序所断的位置
我用了StrongOD 插件
像出现以下情况 如果F8跳入 call    dword ptr [ED6000E]  跟踪 关闭程序
如何绕过这调试呢,有什么办法 知道他是哪里跳入进来的
0ED60000   /EB 10           jmp     short 0ED60012
0ED60002   |6A 00           push    0
0ED60004   |6A FE           push    -2
0ED60006   |FF15 0E00D60E   call    dword ptr [ED6000E]  ntdll.ZwTerminateThread     //跳到这里
0ED6000C  ^|EB F4           jmp     short 0ED60002
0ED6000E   |3D 7C957C68     cmp     eax, 687C957C
0ED60013    2000            and     byte ptr [eax], al
0ED60015    D6              salc
0ED60016    0E              push    cs
0ED60017    33C0            xor     eax, eax
0ED60019    64:FF30         push    dword ptr fs:[eax]
0ED6001C    64:8920         mov     dword ptr fs:[eax], esp
0ED6001F    CC              int3
0ED60020    90              nop   //附加程序 断在这里
0ED60021  ^ EB DF           jmp     short 0ED60002
0ED60023    0000            add     byte ptr [eax], al
0ED60025    0000            add     byte ptr [eax], al
0ED60027    0000            add     byte ptr [eax], al
0ED60029    0000            add     byte ptr [eax], al
0ED6002B    0000            add     byte ptr [eax], al
 
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你应该F7跟进去 看里面那个是跳出去的 把跳出去那段改改试试
2010-5-10 14:31
0
雪    币: 59
活跃值: (1621)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
ntdll.ZwTerminateThread   很明显是结束线程。不该进入call    dword ptr [ED6000E] 了,向上找个跳转,跳过去。
2010-5-10 18:03
0
雪    币: 88
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
[QUOTE=zbzb;805236]ntdll.ZwTerminateThread   很明显是结束线程。不该进入call    dword ptr [ED6000E] 了,向上找个跳转,跳过去。[/QUOTE]

一加载就断在那个位置 那是一个死循环根本 有什么办法找到函数头呢不然根本没法跟上啊
2010-5-13 11:41
0
雪    币: 429
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
你就贴这一点谁看的出来啊?把源程序发上来看看
2010-5-14 10:03
0
游客
登录 | 注册 方可回帖
返回
//