yoda's protector主要有两个需要注意的反调试保护：阻塞设备输入和枚举进程pid并终止调试器

阻塞设备输入

yoda 使用 user32.dll中的BlockInput来屏蔽所有的输入设备的消息，比如鼠标键盘。当设备被屏蔽时你无法进行任何操作，只有阻塞设备的线程或进程可以使用相同的API填入不同的参数来解锁它

yoda protector会在使用api阻塞设备后转向脱壳/解密的进程并执行一些反调试的技巧，在脱壳结束并且所有检查通过时，yoda才会解锁设备。

一个非常简单的方法可以解除阻塞，那就是patch掉BlockInput，让它什么都不做就返回。

当我们用od载入unpackme，我们可以看到内存中只载入了两个dll

为了patch掉BlockInput，我们需要让user32.dll载入内存，在od选项中我们设置断在新的dll上

然后我们继续F9，让user32.dll导入到内存

随后我们就可以取消掉之前断在新dll的选项，然后跳到BlockInput的入口代码处

BlockInput的api就是上图的灰色代码，retn 4就是结尾，我们只需要将所有这些代码填充为nop就行

这样，api就不会进行任何操作，我们的输入设备也不会被阻塞

枚举进程并终止调试器

yoda使用CreateToolhelp32Snapshot来获取所有正在运行的进程，然后yoda会搜索启动unpackme的进程是否和unpackme自己的进程PID是否相同，如果不同，那么yoda就会终止掉该进程(如od)。如果我们像先前一样patch掉CreateToolhelp32Snapshot，程序则会产生句柄非法(Invalid_Handle)异常。这里有另外一种方式来绕过保护。yoda使用GetCurrentProcessId来获取PID，因此我们可以控制返回的PID的值来迷惑保护代码。

比如我们启动unpackme的进程是Ollydbg.exe，我们就要让GetCurrentProcessId返回Ollydbg.exe的PID，这样检查就不会出现问题（而不是unpackme的PID）。

首先我们必须知道ollydbg.exe的PID，这点我们可以启动LordPE来轻松获得

这里ollydbg.exe的PID是0x4B4，而unpackme的PID是0x1CC，我们要做的就是使得GetCurrentProcessId的返回结果是0x4B4

像之前一样，来到api的入口代码处

函数通过eax返回值，我们只需要修改eax即可

这样也就完成了。

在patch完后，还需要使用插件来隐藏Ollydbg（用HideOD等插件，避免IsDebuggerPresent的检查），之后的关键就是找OEP了。

​OEP查找

oep的查找我们可以使用最后一次异常法来跟踪，按下shift+F9的最后一次异常，在堆栈窗口中出现的SE Handler，本例中是00413F50，我们跟踪进去，在00413F50设下断点，然后按下Shift+F9到达断点处。我们要记得开启HideDebugger或类似插件的反IsDebuggerPresent的选项，否则在使用最后一次异常法时会退出OD和unpackme并且无法再点击任务栏和图标。

然后在00413F79处的00404000就是我们的OEP了，dump出来修复IAT即可

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课