[原创]调戏：纯应用层的Anti本地调试器（1）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]调戏：纯应用层的Anti本地调试器（1）

发表于: 2013-11-12 14:39 24714

[原创]调戏：纯应用层的Anti本地调试器（1）

cvcvxk

2013-11-12 14:39

24714

　DbgUiRemoteBreakin

DWORD __stdcall MyDbgUiRemoteBreakin(LPVOID lparam)
{
	OutputDebugStringA("attach\r\n");
	TerminateProcess(GetCurrentProcess(),-1);
	return 0;
}
DWORD __stdcall MyDbgBreakPoint()
{
	OutputDebugStringA("attach 2\r\n");
	//m_Attach2Count++;
	//if (m_Attach2Count>1)
	{
		TerminateProcess(GetCurrentProcess(),-1);
	}
	return 0;
}
DWORD WINAPI AntiDbgAttach(LPVOID lparam)
{
	//挂钩一些特殊函数！
	BYTE myHookCodeDbgUiRemoteBreakin[5]={0};
	BYTE myHookCodeDbgBreakPoint[5]={0};
	VOID *ptrDbgUiRemoteBreakin = (VOID *)GetProcAddress(GetModuleHandle(TEXT("ntdll.dll")),"DbgUiRemoteBreakin");
	InlineHook(ptrDbgUiRemoteBreakin,(void *)MyDbgUiRemoteBreakin,(void **)&OldDbgUiRemoteBreakin);

	void *ptrDbgBreakPoint = (void *)GetProcAddress(GetModuleHandle(TEXT("ntdll.dll")),"DbgBreakPoint");
	InlineHook(ptrDbgBreakPoint,(void *)MyDbgBreakPoint,(void **)&OldDbgBreakPoint);

	RtlCopyMemory(myHookCodeDbgBreakPoint,ptrDbgBreakPoint,5);

	RtlCopyMemory(myHookCodeDbgUiRemoteBreakin,ptrDbgUiRemoteBreakin,5);


	while(1)
	{
		if (memcmp(ptrDbgUiRemoteBreakin,myHookCodeDbgUiRemoteBreakin,5)!=0)
		{
			OutputDebugStringA("find patch DbgUiRemoteBreakin");
			TerminateProcess(GetCurrentProcess(),-1);
		}
		if (memcmp(ptrDbgBreakPoint,myHookCodeDbgBreakPoint,5)!=0)
		{
			OutputDebugStringA("find patch DbgBreakPoint");
			WriteReadOnlyMemory((LPBYTE)ptrDbgBreakPoint,myHookCodeDbgBreakPoint,5);
		}
		Sleep(3000);
	}
	return 0;
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

TestAntiOD.zip （202.30kb，690次下载）

收藏・52

免费・5

支持

最新回复 (43) 1 2 ▶
loqich 雪币： 952 活跃值： (1826) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼 .....然后呢不会没了吧 2013-11-12 14:41 0
alldoisbug 雪币： 45 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	alldoisbug 3 楼预知详情，请听下回分解 2013-11-12 14:43 0
路易雪币： 6 活跃值： (876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	路易 4 楼口才不行啊。。要多练习啊 2013-11-12 14:44 0
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 5 楼怎么感觉没说完呢？？？ 2013-11-12 14:45 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 6 楼哦。围观一下。反正看不懂。 2013-11-12 14:47 0
jackwenwe 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	jackwenwe 7 楼围观v大 2013-11-12 14:52 0
SANCDAYE 雪币： 148 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 204 粉丝 7 关注私信	SANCDAYE 8 楼不给调戏那肿么玩。。。。 2013-11-12 14:53 0
lxmls 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	lxmls 9 楼 mark!!!!!!!! 2013-11-12 14:57 0
neineit 雪币： 397 活跃值： (397) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 10 楼 hao, 鸡冻一下了，wrk这个万金油。 2013-11-12 14:59 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 11 楼 mark 2013-11-12 15:02 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 12 楼围观调教师... 2013-11-12 15:06 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 13 楼 v校又开始爆了 2013-11-12 15:30 0
信是有缘雪币： 212 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	信是有缘 14 楼追踪大牛足迹期待对抗方法！ 2013-11-12 15:36 0
小希希雪币： 1839 活跃值： (4065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 15 楼 mark 猥琐 2013-11-12 16:23 0
abcshijian 雪币： 428 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	abcshijian 16 楼留名... 2013-11-12 16:42 0
zxiso 雪币： 302 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 154 粉丝 0 关注私信	zxiso 17 楼果断收藏之。。这是一切都是命运的抉择啊！ 2013-11-12 16:54 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 18 楼无视Anti的路过文章很精辟 2013-11-12 17:37 0
wangzesen 雪币： 882 活跃值： (1441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	wangzesen 19 楼 v大都说了Timor队长正在送命。。 2013-11-12 17:43 0
青v云雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	青v云 20 楼前段时间包装了一下detours, 貌似做出来的效果跟海风月影大神的差不多, 只不过没用汇编, 写了一堆模板推导出来回调的类型, 说起来似乎在类型上更安全 https://github.com/QingYun/tracer 2013-11-12 18:04 0
游人啊k 雪币： 253 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	游人啊k 21 楼看看V大讲故事 2013-11-12 18:22 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 22 楼挽尊留名，德玛西亚 2013-11-12 20:44 0
KooJiSung 雪币： 357 活跃值： (3468) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 23 楼你的代码看不懂,太复杂了 2013-11-12 20:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 24 楼代码很酷~ 但是这样略微有点不方便。 2013-11-12 21:32 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 25 楼围观调教师 ..貌似来晚了竟然在这么后面 2013-11-12 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) 1 2 ▶
loqich 雪币： 952 活跃值： (1826) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼 .....然后呢不会没了吧 2013-11-12 14:41 0
alldoisbug 雪币： 45 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	alldoisbug 3 楼预知详情，请听下回分解 2013-11-12 14:43 0
路易雪币： 6 活跃值： (876) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 1 关注私信	路易 4 楼口才不行啊。。要多练习啊 2013-11-12 14:44 0
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 336 粉丝 1 关注私信	LiXMX 5 楼怎么感觉没说完呢？？？ 2013-11-12 14:45 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 6 楼哦。围观一下。反正看不懂。 2013-11-12 14:47 0
jackwenwe 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	jackwenwe 7 楼围观v大 2013-11-12 14:52 0
SANCDAYE 雪币： 148 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 204 粉丝 7 关注私信	SANCDAYE 8 楼不给调戏那肿么玩。。。。 2013-11-12 14:53 0
lxmls 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	lxmls 9 楼 mark!!!!!!!! 2013-11-12 14:57 0
neineit 雪币： 397 活跃值： (397) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 10 楼 hao, 鸡冻一下了，wrk这个万金油。 2013-11-12 14:59 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 11 楼 mark 2013-11-12 15:02 0
wmg 雪币： 69 活跃值： (242) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 60 粉丝 0 关注私信	wmg 12 楼围观调教师... 2013-11-12 15:06 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 13 楼 v校又开始爆了 2013-11-12 15:30 0
信是有缘雪币： 212 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	信是有缘 14 楼追踪大牛足迹期待对抗方法！ 2013-11-12 15:36 0
小希希雪币： 1839 活跃值： (4065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 337 粉丝 18 关注私信	小希希 15 楼 mark 猥琐 2013-11-12 16:23 0
abcshijian 雪币： 428 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 42 粉丝 0 关注私信	abcshijian 16 楼留名... 2013-11-12 16:42 0
zxiso 雪币： 302 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 154 粉丝 0 关注私信	zxiso 17 楼果断收藏之。。这是一切都是命运的抉择啊！ 2013-11-12 16:54 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 18 楼无视Anti的路过文章很精辟 2013-11-12 17:37 0
wangzesen 雪币： 882 活跃值： (1441) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	wangzesen 19 楼 v大都说了Timor队长正在送命。。 2013-11-12 17:43 0
青v云雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	青v云 20 楼前段时间包装了一下detours, 貌似做出来的效果跟海风月影大神的差不多, 只不过没用汇编, 写了一堆模板推导出来回调的类型, 说起来似乎在类型上更安全 https://github.com/QingYun/tracer 2013-11-12 18:04 0
游人啊k 雪币： 253 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	游人啊k 21 楼看看V大讲故事 2013-11-12 18:22 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 22 楼挽尊留名，德玛西亚 2013-11-12 20:44 0
KooJiSung 雪币： 357 活跃值： (3468) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 23 楼你的代码看不懂,太复杂了 2013-11-12 20:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 24 楼代码很酷~ 但是这样略微有点不方便。 2013-11-12 21:32 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 25 楼围观调教师 ..貌似来晚了竟然在这么后面 2013-11-12 21:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复