首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]这些BT的反调试功能是怎么实现的?从没见过这样的
2011-5-12 10:03 6785

[求助]这些BT的反调试功能是怎么实现的?从没见过这样的

vfbf 活跃值
2011-5-12 10:03
6785
调试某个程序的时候发现了这样的反调试机制:
1, 保护是基于线程的, 在未呗保护线程中可以正常调试.
2, 对于被保护线程, 硬件断点和内存断点无效.
3, 如果在被保护线程执行的代码上下软件断点, 会被即时检测出来.调试器无反映, 也就是说调试器可能没感觉到int 3中断.
4, 如果在被保护线程执行代码的附近(同一个函数, 但是分支代码没被执行)下软件断点, 保护机制无反映. 看来不是普通的代码校验.

好像是用某种方法, 在调试器之前处理了int 3中断. 有大侠能解释一下嘛.

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
打赏
分享
最新回复 (7)
千里之外
雪    币: 217
活跃值: (68)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
私信
千里之外 5 2011-5-12 11:00
2
0
1.如果没有驱动 处理IN3 估计就不可能了
2.使用OD的trace 功能看看你说的那些保护的代码到底走了没 顺便在那里下上INT3
JBoy
雪    币: 123
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
JBoy 2011-5-12 17:31
3
0
关闭OD的异常忽略
vfbf
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
vfbf 2011-5-12 20:37
4
0
没有效果. 另外程序应该是用 Winlicense 加过壳.
webwizard
雪    币: 29
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
webwizard 2011-5-13 01:34
5
0
关注一下下。
vfbf
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
vfbf 2011-5-13 20:30
6
0
使用trace 后和软件中断一样, 被检测出来了.
这是什么bt的保护机制啊!!!
疯子
雪    币: 2180
活跃值: (423)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
私信
疯子 4 2011-5-13 21:55
7
0
感觉像是设置了threadhideformdebugger
vfbf
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
vfbf 2011-5-14 23:27
8
0
十分感谢, 就是这个
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回