[讨论]最近发现一个有意思的反调试，不知新鲜否-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]最近发现一个有意思的反调试，不知新鲜否

发表于: 2010-5-15 17:49 2307

[讨论]最近发现一个有意思的反调试，不知新鲜否

lofullen

2010-5-15 17:49

2307

载入OD 以后定在壳入口点，CODE 段为空，壳负责解压CODE段里的代码，这时无论是CODE段设置内存访问还是写入断点都无效，如果在空白的CODE某处位置F2下断点，那么就会在下断点的位置替换成 “00”或者“90”，写CODE时进行规避式跳过，这样就无法下断，所以只能下断点在外部API函数上进行首次有效下断，比如OEP载入后第一个 API 函数“GetModuleHandleA”，此处下段才能返回 CODE 段，这样以后就可以在下面的的代码中开始F2断点。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (1)
davidhee 雪币： 732 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 140 粉丝 1 关注私信	davidhee 2 楼呵呵，VMP 2010-5-27 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lofullen

发帖

111

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
davidhee 雪币： 732 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 140 粉丝 1 关注私信	davidhee 2 楼呵呵，VMP 2010-5-27 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复