恶意代码分析实战 Lab16-3 反调试相关
首先将OD设置为不接收任何异常
然后在401280处下段
目前已知: 401280处 edx为两次QueryPerformanceCounter时间差,当时间差大于4B0时触发反调试。
现在的情况是,我们只在401280处下一个断点,程序加载后直接F9断在这,然后观察edx,CtrlF2重新开始,直接F9,再次观察edx,重复上述步骤。
然后每次的edx值都不同,而且跨度很大,反调试也就随机触发
如上几种情况,时间差从2xx到1xxx随机,不是说QueryPerformanceCounter是精准时间戳吗, 为什么会有这么大的变化。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
littlewisp 和时间相关的反调试,在实际产品中大量测试不靠谱