[求助]请问一下这个壳的反调试是基于什么原理？-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[求助]请问一下这个壳的反调试是基于什么原理？

发表于: 2015-10-11 21:42 4679

[求助]请问一下这个壳的反调试是基于什么原理？

ygcalos

2015-10-11 21:42

4679

最近我在试图脱一个壳的时候
发现里面有这种
0064606A    A1 A4506400     mov     eax, dword ptr [0x6450A4]
0064606F    05 64EC0213     add     eax, 0x1302EC64
00646074    8BE0            mov     esp, eax
00646076  - E9 4FC0DBFF     jmp     004020CA

004020CA >/$  FA            cli
004020CB  |.  FB            sti
004020CC  |.  FA            cli
004020CD  \.  CF            iretd

每次OD运行到4020CA的时候就程序就挂了
但是不用OD让它自己去运行就没问题
请问各位大大，这里是基于什么原理来实现反调试的呢？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 2 楼 cli sti不是特权指令么？我猜是SEH，VEH之类的 2015-10-11 21:56 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼 http://blog.163.com/njut_wangjian/blog/static/16579642520124209375748/ 不知道nop掉有木有关系 2015-10-11 22:11 0
hio 雪币： 131 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 1 关注私信	hio 4 楼试试将异常传递给程序，cli转seh还挺常见的 2015-10-15 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ygcalos

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
yuchengton 雪币： 261 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 146 粉丝 0 关注私信	yuchengton 2 楼 cli sti不是特权指令么？我猜是SEH，VEH之类的 2015-10-11 21:56 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 3 楼 http://blog.163.com/njut_wangjian/blog/static/16579642520124209375748/ 不知道nop掉有木有关系 2015-10-11 22:11 0
hio 雪币： 131 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 1 关注私信	hio 4 楼试试将异常传递给程序，cli转seh还挺常见的 2015-10-15 13:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复