首页
社区
课程
招聘
[求助]关于程序反调试的求助
发表于: 2018-9-6 10:41 6225

[求助]关于程序反调试的求助

2018-9-6 10:41
6225
最近准备逆向一程序。由于该程序是随系统开机启动( 系统开机启动后再单独启动不能正常运行),故只好采用OD附加的办法。结果发现:
1、程序不能附加。经分析发现内核钩子,被SSDT,用工具恢复后,可以附加了;
2、程序附加后,数秒最多不超十秒,程序被终止,怀疑程序有反调试;
3、设置常用的程序退出或进程、线程退出终止断点无效,无法断下;
4、用其他方法虽然可以断下程序,在程序自动终止前的有效期内,按F9程序继续运行,按F7或F8程序直接终止,怀疑有单步检测;
5、程序被断下后,不着任何操作,只要过了程序设置的终止时间,再操作进程直接被挂起,好似计时器独立于程序之外在发挥作用;
6、设置与时间相关的涵数断点虽然能够断下,但只要超出有效期,程序一样被挂,这些时间断点与反调试的计时器无关,反调试很隐蔽。
。。。。。。。。。。。。。
总之,这种现象我第一次遇到。这个程序虽然无壳,但有VM。(程序入口先运行VM段再到代码段,代码段又常调回VM段)。由于水平很菜,这里求助各位高手:
1、帮忙分析一下这种反调试是什么机理,可能用什么方法突破;
2、推荐这方面相关的资料,当然希望通俗一点,最好是能直接借鉴。
谢谢!


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2018-9-6 10:57 被釜森编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 255
活跃值: (372)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
现在F7和F8问题解决了,但程序定时终止还没有办法,请高手指点一下。
2018-9-7 13:08
0
雪    币: 1
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
TP类的?
2018-9-7 13:14
0
雪    币: 1790
活跃值: (3785)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
发出来看下。
2018-9-11 17:13
0
雪    币: 33
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
6
1111111111111111111111111
2018-9-11 21:55
0
游客
登录 | 注册 方可回帖
返回
//