-
-
[求助]Armadillo针对系统调试器的检测如何破?
-
发表于:
2013-2-6 18:11
3820
-
[求助]Armadillo针对系统调试器的检测如何破?
最近电脑上装了一款小软件,但是由于本人电脑上装了很多调试器软件,包括OD, WinDbg,SoftICE等,所以此软件每次启动都会提示:“请将系统调试器卸载后重启本软件”,然后就自动退出了。
后来用查壳工具查了下,是Armadillo壳在作怪,我也不是一定要脱壳,就想这个软件正常运行使用就好。
于是通过搜寻字符串发现,此软件并不是用数据段中的静态字符串显示的,而是在堆中申请的空间放置的字符串,字符串是UNicode编码,然后弹出一个对话框。
我试着在MessageBoxA/W,DialogBoxParamA/W等API上下断点都没有断下来,所以很难确定程序中是怎么判断我有系统调试器的。然后用OD单步跟的话,似乎又会陷入死循环,只有F9之后,才会弹出“请将系统调试器卸载后重启本软件”的对话框。
本人黔驴技穷,请诸位高手给个思路吧
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)