首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
程序的反调试
发表于: 2010-5-9 20:04 3857

程序的反调试

错过 活跃值
2010-5-9 20:04
3857
以下是OD附加程序所断的位置
我用了StrongOD 插件
像出现以下情况 如果F8跳入 call    dword ptr [ED6000E]  跟踪 关闭程序
如何绕过这调试呢,有什么办法 知道他是哪里跳入进来的
0ED60000   /EB 10           jmp     short 0ED60012
0ED60002   |6A 00           push    0
0ED60004   |6A FE           push    -2
0ED60006   |FF15 0E00D60E   call    dword ptr [ED6000E]  ntdll.ZwTerminateThread     //跳到这里
0ED6000C  ^|EB F4           jmp     short 0ED60002
0ED6000E   |3D 7C957C68     cmp     eax, 687C957C
0ED60013    2000            and     byte ptr [eax], al
0ED60015    D6              salc
0ED60016    0E              push    cs
0ED60017    33C0            xor     eax, eax
0ED60019    64:FF30         push    dword ptr fs:[eax]
0ED6001C    64:8920         mov     dword ptr fs:[eax], esp
0ED6001F    CC              int3
0ED60020    90              nop   //附加程序 断在这里
0ED60021  ^ EB DF           jmp     short 0ED60002
0ED60023    0000            add     byte ptr [eax], al
0ED60025    0000            add     byte ptr [eax], al
0ED60027    0000            add     byte ptr [eax], al
0ED60029    0000            add     byte ptr [eax], al
0ED6002B    0000            add     byte ptr [eax], al

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
七六零九
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
你应该F7跟进去 看里面那个是跳出去的 把跳出去那段改改试试
2010-5-10 14:31
0
zbzb
雪    币: 59
活跃值: (1516)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
ntdll.ZwTerminateThread   很明显是结束线程。不该进入call    dword ptr [ED6000E] 了,向上找个跳转,跳过去。
2010-5-10 18:03
0
错过
雪    币: 88
活跃值: (397)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
[QUOTE=zbzb;805236]ntdll.ZwTerminateThread   很明显是结束线程。不该进入call    dword ptr [ED6000E] 了,向上找个跳转,跳过去。[/QUOTE]

一加载就断在那个位置 那是一个死循环根本 有什么办法找到函数头呢不然根本没法跟上啊
2010-5-13 11:41
0
活个痛快
雪    币: 429
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
你就贴这一点谁看的出来啊?把源程序发上来看看
2010-5-14 10:03
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//