[原创]调戏：纯应用层的Anti本地调试器（1）-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (43) ◀ 1 2
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 26 楼其实只要利用运行时间差异和单步时线程需要一个个排队允许……就可以anti了嘛…… 2013-11-12 21:39 0
小希希雪币： 1631 活跃值： (3810) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 333 粉丝 18 关注私信	小希希 27 楼 void(*f)(); f = [] () { RunFoo(); }; f(); 反人类的语法，老v也开始用c++了么？ 2013-11-12 22:03 0
cailiaock 雪币： 102 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	cailiaock 28 楼先回复，，，再细看，学习学习。 2013-11-12 22:18 0
青v云雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	青v云 29 楼求改进意见 2013-11-13 11:35 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 30 楼没看到标题是(1)么..有时候用OD进行调试,经常发现会卡死在ThreadPro 上. 2013-11-13 12:07 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 31 楼呵呵，（2）会出的~ 2013-11-14 19:57 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 32 楼 [QUOTE=小希希;1238708]void(*f)(); f = [] () { RunFoo(); }; f(); 反人类的语法，老v也开始用c++了么？[/QUOTE] c++很爽，但是语法太反人类~ 2013-11-15 01:56 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 33 楼官方原版OD,附加然后各种姿势的调,坐着调，躺着调，翻滚着调..... 2013-11-15 13:42 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 34 楼 v校写的东西很独到，就是基础层次方面欠缺指引 2013-11-15 13:57 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 35 楼突然想起了看过一篇关于子系统调试机制里面的port 2013-11-15 14:10 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 36 楼 MARK V大 2013-11-15 14:24 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 37 楼万一有人使用了无比邪恶的vt呢…… 2013-11-22 14:38 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 38 楼学习了，猥琐的思路 2013-11-22 15:16 0
michaellch 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	michaellch 39 楼 vt要更新换代趋势了，有大神爆一下料吗 2013-11-29 09:45 0
SBkiller 雪币： 10 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	SBkiller 40 楼 mark 学习 2013-11-29 13:04 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 41 楼聊胜于无,感谢分享~ 2013-11-29 13:15 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 42 楼 10年的时候用过这种办法 : 所有正常的线程,都要经过ntdll的那个点插个桩,注册一个terminal port给保护线程. 然后每个线程结束的时候,保护线程会感知到线程结束,此时写入一个随机值到LastThreadExitStatus里面(注意这个地方要用驱动,但是还有其它ring3的地方可以用的办法自己去找找看把).同时校验这个值是不是自己写的,否则的话....这样StrongOd的anti anti attach功能是可以被检测的. 如果熟悉了一般线程创建的流程,还可以在csrss里面弄点代码. 反调试这东西还有很多坑可以挖的.但是话又说回来,弄个反调试老板会给你涨工资吗 2013-12-3 15:18 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 43 楼楼上最后一句话，我赞成+1 2013-12-5 19:03 0
liu牛雪币： 210 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	liu牛 44 楼 V大一出必是精文 2013-12-26 23:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (43) ◀ 1 2
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 26 楼其实只要利用运行时间差异和单步时线程需要一个个排队允许……就可以anti了嘛…… 2013-11-12 21:39 0
小希希雪币： 1631 活跃值： (3810) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 333 粉丝 18 关注私信	小希希 27 楼 void(*f)(); f = [] () { RunFoo(); }; f(); 反人类的语法，老v也开始用c++了么？ 2013-11-12 22:03 0
cailiaock 雪币： 102 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	cailiaock 28 楼先回复，，，再细看，学习学习。 2013-11-12 22:18 0
青v云雪币： 40 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	青v云 29 楼求改进意见 2013-11-13 11:35 0
Rookietp 雪币： 1042 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 30 楼没看到标题是(1)么..有时候用OD进行调试,经常发现会卡死在ThreadPro 上. 2013-11-13 12:07 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 31 楼呵呵，（2）会出的~ 2013-11-14 19:57 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 32 楼 [QUOTE=小希希;1238708]void(*f)(); f = [] () { RunFoo(); }; f(); 反人类的语法，老v也开始用c++了么？[/QUOTE] c++很爽，但是语法太反人类~ 2013-11-15 01:56 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 33 楼官方原版OD,附加然后各种姿势的调,坐着调，躺着调，翻滚着调..... 2013-11-15 13:42 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 34 楼 v校写的东西很独到，就是基础层次方面欠缺指引 2013-11-15 13:57 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 35 楼突然想起了看过一篇关于子系统调试机制里面的port 2013-11-15 14:10 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 36 楼 MARK V大 2013-11-15 14:24 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 37 楼万一有人使用了无比邪恶的vt呢…… 2013-11-22 14:38 0
hack一生雪币： 306 活跃值： (85) 能力值： ( LV6，RANK：80 ) 在线值：发帖 29 回帖 195 粉丝 0 关注私信	hack一生 1 38 楼学习了，猥琐的思路 2013-11-22 15:16 0
michaellch 雪币： 67 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	michaellch 39 楼 vt要更新换代趋势了，有大神爆一下料吗 2013-11-29 09:45 0
SBkiller 雪币： 10 活跃值： (83) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	SBkiller 40 楼 mark 学习 2013-11-29 13:04 0
YwdxY 雪币： 347 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 0 关注私信	YwdxY 41 楼聊胜于无,感谢分享~ 2013-11-29 13:15 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 42 楼 10年的时候用过这种办法 : 所有正常的线程,都要经过ntdll的那个点插个桩,注册一个terminal port给保护线程. 然后每个线程结束的时候,保护线程会感知到线程结束,此时写入一个随机值到LastThreadExitStatus里面(注意这个地方要用驱动,但是还有其它ring3的地方可以用的办法自己去找找看把).同时校验这个值是不是自己写的,否则的话....这样StrongOd的anti anti attach功能是可以被检测的. 如果熟悉了一般线程创建的流程,还可以在csrss里面弄点代码. 反调试这东西还有很多坑可以挖的.但是话又说回来,弄个反调试老板会给你涨工资吗 2013-12-3 15:18 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 43 楼楼上最后一句话，我赞成+1 2013-12-5 19:03 0
liu牛雪币： 210 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	liu牛 44 楼 V大一出必是精文 2013-12-26 23:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复