[求助]反调试相关QueryPerformanceCounter函数-求助问答-看雪-安全社区|安全招聘|kanxue.com

SSH山水画

2021-3-11 10:57

3741

恶意代码分析实战 Lab16-3 反调试相关

首先将OD设置为不接收任何异常

然后在401280处下段

目前已知： 401280处 edx为两次QueryPerformanceCounter时间差，当时间差大于4B0时触发反调试。

现在的情况是，我们只在401280处下一个断点，程序加载后直接F9断在这，然后观察edx，CtrlF2重新开始，直接F9，再次观察edx，重复上述步骤。

然后每次的edx值都不同，而且跨度很大，反调试也就随机触发

如上几种情况，时间差从2xx到1xxx随机，不是说QueryPerformanceCounter是精准时间戳吗，为什么会有这么大的变化。

上传的附件：

收藏・1

免费・0

打赏

最新回复 (3)
SSH山水画雪币： 1455 活跃值： (14622) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 368 关注私信	SSH山水画 3 2021-3-11 12:01 2 楼 0 顶
littlewisp 雪币： 4699 活跃值： (3069) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 558 粉丝 12 关注私信	littlewisp 2 2021-3-11 15:52 3 楼 0 和时间相关的反调试，在实际产品中大量测试不靠谱
SSH山水画雪币： 1455 活跃值： (14622) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 368 关注私信	SSH山水画 3 2021-3-11 16:26 4 楼 0 littlewisp 和时间相关的反调试，在实际产品中大量测试不靠谱明白了，那我就不深究了，感谢！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

SSH山水画

发帖

回帖

RANK

关注

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
SSH山水画雪币： 1455 活跃值： (14622) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 368 关注私信	SSH山水画 3 2021-3-11 12:01 2 楼 0 顶
littlewisp 雪币： 4699 活跃值： (3069) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 558 粉丝 12 关注私信	littlewisp 2 2021-3-11 15:52 3 楼 0 和时间相关的反调试，在实际产品中大量测试不靠谱
SSH山水画雪币： 1455 活跃值： (14622) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 368 关注私信	SSH山水画 3 2021-3-11 16:26 4 楼 0 littlewisp 和时间相关的反调试，在实际产品中大量测试不靠谱明白了，那我就不深究了，感谢！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复