-
-
[原创]一种猥琐简单的时间检测反调试法
-
发表于: 2013-10-28 13:34
-
反调试技术中有一种时间检测法,其历史古老而悠久,基本原理就是利用代码在自然运行和在调试运行的执行速度不一样来检测程序是否被调试,这种方法在怎么设定那段代码进行检测或到底设定多少执行时间算是在调试运行上有点费脑筋,这里就介绍一种简单猥琐但有效的时间检测方法,原理清晰易懂,小朋友都可以上手,是不是原创不知,这里就厚着脸皮说是原创了。
当当当,原理介绍正式开始
用过调试器的朋友们都知道(啊,没用过,拖出去枪毙5分钟),当程序被断下后程序就成一具僵尸了,啥也干不了,包括Windows的消息也不能处理,其中也包括WM_TIMER消息,细心的同学就会立马发现了,不是有TIME,不就可以搞时间检测。具体搞法如下:
1、用Settimer搞一个定时器,时间你想怎么定就怎么定(当然不能太长,要搞个1小时人家都把你注册码都搞出来了)
2、在定时器回调函数中用GetTickCount检测当前时间,然后和上一次的时间相比较,如果时间差大于Settimer设定的时间,说明有小朋友在对我们的程序搞小动作了。
原理结束,是不是很简单。虽然简单,但我们可以看下效果:
没有OD附加前的时间差值基本都是1000ms,最后那一下下就是我刚附加测试的进程然后F9跑起来来后的检测时间,多达7秒多(当然我手速太慢),然后就是华丽丽的弹出进程被调试的消息框,然后就没有然后了
程序比较简单,源码我就不附上了,bin在下面,有兴趣的朋友可以拿去玩玩
BIN:
TimeTest.zip
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 我把笔记本关了一下,然后打开就这样了,当当当,支持分享 |
|
|
|
|
|
[QUOTE=kangcin;1234705]
我把笔记本关了一下,然后打开就这样了,当当当,支持分享[/QUOTE] 关了一下笔记本会进入待机状态,也会停止消息响应,是种意外情况,值得考虑 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
如果你的机器卡了一下,然后就各种误判...
|
|
|
|
|
|
|
|
|
|
|
|
|
