首页
社区
课程
招聘
未解决 [求助]反调试相关QueryPerformanceCounter函数
发表于: 2021-3-11 10:57 3909

未解决 [求助]反调试相关QueryPerformanceCounter函数

2021-3-11 10:57
3909

恶意代码分析实战 Lab16-3 反调试相关

 

image-20210311104456038

 

首先将OD设置为不接收任何异常

 

然后在401280处下段

 

目前已知: 401280处 edx为两次QueryPerformanceCounter时间差,当时间差大于4B0时触发反调试。

 

image-20210311104723150

 

现在的情况是,我们只在401280处下一个断点,程序加载后直接F9断在这,然后观察edx,CtrlF2重新开始,直接F9,再次观察edx,重复上述步骤。

 

然后每次的edx值都不同,而且跨度很大,反调试也就随机触发

 

image-20210311104937288

 

image-20210311105017272

 

image-20210311105040162

 

image-20210311105228177

 

image-20210311105314896

 

image-20210311105414668

 

如上几种情况,时间差从2xx到1xxx随机,不是说QueryPerformanceCounter是精准时间戳吗, 为什么会有这么大的变化。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 1487
活跃值: (14662)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
2
2021-3-11 12:01
0
雪    币: 5480
活跃值: (3869)
能力值: ( LV13,RANK:283 )
在线值:
发帖
回帖
粉丝
3
和时间相关的反调试,在实际产品中大量测试不靠谱
2021-3-11 15:52
0
雪    币: 1487
活跃值: (14662)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
4
littlewisp 和时间相关的反调试,在实际产品中大量测试不靠谱
明白了,那我就不深究了,感谢!
2021-3-11 16:26
0
游客
登录 | 注册 方可回帖
返回
//