-
-
[原创]看雪CTF2017 第十五题 CrackMe逆向分析
-
发表于: 2017-6-30 20:20
-
了解的不深,主要是过反调试。
OD直接运行会弹出来这个,然后就被卡了1天,哎。
中间过程就不说了,不断的单步,run跟踪,找到vm的dispatch的地方:
主要信息见上图:
0x281Dcc0 这个是接下来要执行的地方
栈顶 0x5d309a 是执行之后返回的地址,里边各种乱跳,run跟踪多次,希望找到计算下次返回的地址,然并卵。
再次下断点大约执行16次之后就会触发反调试弹框。
前16就是检测是否在调试状态的。
其中包括一次时间检查:
n次窗口检查:
这些大概不是全部的检测,不然我的OD应该检测不到,毕竟标题和类名都是修改了的。
弹出反调试之后如果程序去
上边地址去就挂了,所以就要改了他。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
