-
-
[求助]关于程序反调试的求助
-
发表于:
2018-9-6 10:41
6225
-
最近准备逆向一程序。由于该程序是随系统开机启动(
系统开机启动后再单独启动不能正常运行),故只好采用OD附加的办法。结果发现:
1、程序不能附加。经分析发现内核钩子,被SSDT,用工具恢复后,可以附加了;
2、程序附加后,数秒最多不超十秒,程序被终止,怀疑程序有反调试;
3、设置常用的程序退出或进程、线程退出终止断点无效,无法断下;
4、用其他方法虽然可以断下程序,在程序自动终止前的有效期内,按F9程序继续运行,按F7或F8程序直接终止,怀疑有单步检测;
5、程序被断下后,不着任何操作,只要过了程序设置的终止时间,再操作进程直接被挂起,好似计时器独立于程序之外在发挥作用;
6、设置与时间相关的涵数断点虽然能够断下,但只要超出有效期,程序一样被挂,这些时间断点与反调试的计时器无关,反调试很隐蔽。
。。。。。。。。。。。。。
总之,这种现象我第一次遇到。这个程序虽然无壳,但有VM。(程序入口先运行VM段再到代码段,代码段又常调回VM段)。由于水平很菜,这里求助各位高手:
1、帮忙分析一下这种反调试是什么机理,可能用什么方法突破;
2、推荐这方面相关的资料,当然希望通俗一点,最好是能直接借鉴。
谢谢!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2018-9-6 10:57
被釜森编辑
,原因: