首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
帮忙看看这个反跟踪是怎么回事?
2005-6-3 20:23 4478

帮忙看看这个反跟踪是怎么回事?

xing_xsz 活跃值
2005-6-3 20:23
4478
用VC++开发

发现SoftIce已安装就自动退出。
我用OD跟踪后,发现一个call检测了:
IsDebuggerPresent
CheckRemoteDebuggerPresent
OpenProcess
我NOP掉这个call后,SoftIce躲过了他的检测。

但是,我想用OD调试这个程序。我用插件隐了OD。
OD一跟踪它就退出了,没有发现它调用PostQuitMessage,ExitThread,TerminateProcess等等。
直接就退出了。

用其他ring3级调试器也一样,一跟踪就退出。

估计是检测父进程或TEB标志。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
打赏
分享
最新回复 (8)
kanxue
雪    币: 38374
活跃值: (19370)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
kanxue 8 2005-6-3 21:08
2
0
不明白你意思,是VC主程序本身Anti?
fly
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
私信
fly 85 2005-6-3 21:41
3
0
Obsidium ?
xing_xsz
雪    币: 417
活跃值: (250)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xing_xsz 2005-6-3 23:34
4
0
我要跟踪的软件是vc开发的。
软件没有加壳。
xing_xsz
雪    币: 417
活跃值: (250)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xing_xsz 2005-6-5 11:05
5
0
将帖子提前
xing_xsz
雪    币: 417
活跃值: (250)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
xing_xsz 2005-6-6 11:14
6
0
原来他是在
BOOL CabcApp::InitInstance()
返回了False,强行返回True就OK了。
prince
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
私信
prince 16 2005-6-6 11:44
7
0
不会吧? 什么原理?
笑语
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
笑语 2005-11-3 00:40
8
0
最初由 xing_xsz 发布
原来他是在
BOOL CabcApp::InitInstance()
返回了False,强行返回True就OK了。


可以讲清楚原理吗?谢谢
starluck
雪    币: 212
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
starluck 1 2005-11-3 12:20
9
0
没看懂!能不能说仔细一点
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回