恶意代码分析实战 Lab16-3 反调试相关
首先将OD设置为不接收任何异常
然后在401280处下段
目前已知: 401280处 edx为两次QueryPerformanceCounter时间差,当时间差大于4B0时触发反调试。
现在的情况是,我们只在401280处下一个断点,程序加载后直接F9断在这,然后观察edx,CtrlF2重新开始,直接F9,再次观察edx,重复上述步骤。
然后每次的edx值都不同,而且跨度很大,反调试也就随机触发
如上几种情况,时间差从2xx到1xxx随机,不是说QueryPerformanceCounter是精准时间戳吗, 为什么会有这么大的变化。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
littlewisp 和时间相关的反调试,在实际产品中大量测试不靠谱