首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
看雪社区
加壳脱壳
发新帖
1
0
TheMida带壳跟踪,断点处F7,程序退出,这种反跟踪的原理是什么?
2007-4-28 13:06
8249
TheMida带壳跟踪,断点处F7,程序退出,这种反跟踪的原理是什么?
ANTI
2007-4-28 13:06
8249
好久不见,不寒喧,开门见山,请问各位前辈:od带壳跟踪加themida的exe,在断点断住以后,f7步入,程序不能跟入反而直接退出,是不是因为有SEH反跟踪?遇到这种情况怎么办?是不是断住以后清除TF 标识位就能躲过?
于是在 postexitmessage,exitprocess,terminateprocess上下断点,企图找到反调试代码让程序退出的地方,但不能成功断住,是否应该下硬件执行断点?是否反调试代码跳过了退出进程的api的入口代码,应该把断点向后移动?
而且,我还发现在程序上设置的断点有时候能断住,有时候则不能。我怀疑是themida壳生成了另外几个线程在不停检测断点,有时线程在断点没有执行的时候检测到了,就退出程序了。有时候程序执行到断点处能成功中断,这是因为这时还没有轮到检测线程检测该处断点,所以断点就能执行,请问前辈,我的猜测对吗?怎样躲过反调试对断点的检测呢?谢谢先!!!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
收藏
・
1
点赞
・
0
打赏
分享
分享到微信
分享到QQ
分享到微博
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
4
)
ANTI
雪 币:
279
活跃值:
(266)
能力值:
( LV2,RANK:10 )
在线值:
发帖
20
回帖
47
粉丝
0
关注
私信
ANTI
2007-4-29 18:48
2
楼
0
困扰我好几天了,请前辈们指点一下,谢谢!
kanxue
雪 币:
32403
活跃值:
(18850)
能力值:
(RANK:350 )
在线值:
发帖
1826
回帖
15216
粉丝
488
关注
私信
kanxue
8
2007-4-29 22:01
3
楼
0
有关thmedia的反跟踪,你看看这2个帖:
http://bbs.pediy.com/showthread.php?threadid=33621
http://bbs.pediy.com/showthread.php?threadid=36374
你可以用OllyICE+HideOD躲过thmedia的检测。(HideOD插件采用了heXer的相关技术跳过这些Anti)
pdjfx
雪 币:
200
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
15
粉丝
0
关注
私信
pdjfx
2007-4-30 09:17
4
楼
0
偶来学习了,谢谢各位老大!
绣绣
雪 币:
208
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
6
回帖
41
粉丝
0
关注
私信
绣绣
2007-5-4 13:45
5
楼
0
themida1.5怎么调试啊,我用了 老大的方法,可是不行啊,出现内存报错,ntdll
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
ANTI
20
发帖
47
回帖
10
RANK
关注
私信
他的文章
TheMida带壳跟踪,断点处F7,程序退出,这种反跟踪的原理是什么?
8250
80386的分页寻址机制中,cr3寄存器中保存的地址是线性地址吗?
6952
exe反汇编出现:lea esp,dword ptr ss:[esp]
9574
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
返回
顶部
