首页
社区
课程
招聘
TheMida带壳跟踪,断点处F7,程序退出,这种反跟踪的原理是什么?
发表于: 2007-4-28 13:06 8766

TheMida带壳跟踪,断点处F7,程序退出,这种反跟踪的原理是什么?

2007-4-28 13:06
8766
好久不见,不寒喧,开门见山,请问各位前辈:od带壳跟踪加themida的exe,在断点断住以后,f7步入,程序不能跟入反而直接退出,是不是因为有SEH反跟踪?遇到这种情况怎么办?是不是断住以后清除TF 标识位就能躲过?
    于是在 postexitmessage,exitprocess,terminateprocess上下断点,企图找到反调试代码让程序退出的地方,但不能成功断住,是否应该下硬件执行断点?是否反调试代码跳过了退出进程的api的入口代码,应该把断点向后移动?
    而且,我还发现在程序上设置的断点有时候能断住,有时候则不能。我怀疑是themida壳生成了另外几个线程在不停检测断点,有时线程在断点没有执行的时候检测到了,就退出程序了。有时候程序执行到断点处能成功中断,这是因为这时还没有轮到检测线程检测该处断点,所以断点就能执行,请问前辈,我的猜测对吗?怎样躲过反调试对断点的检测呢?谢谢先!!!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 279
活跃值: (266)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
困扰我好几天了,请前辈们指点一下,谢谢!
2007-4-29 18:48
0
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
3
有关thmedia的反跟踪,你看看这2个帖:
http://bbs.pediy.com/showthread.php?threadid=33621
http://bbs.pediy.com/showthread.php?threadid=36374

你可以用OllyICE+HideOD躲过thmedia的检测。(HideOD插件采用了heXer的相关技术跳过这些Anti)
2007-4-29 22:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
偶来学习了,谢谢各位老大!
2007-4-30 09:17
0
雪    币: 208
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
themida1.5怎么调试啊,我用了 老大的方法,可是不行啊,出现内存报错,ntdll
2007-5-4 13:45
0
游客
登录 | 注册 方可回帖
返回
//