-
-
TheMida带壳跟踪,断点处F7,程序退出,这种反跟踪的原理是什么?
-
发表于:
2007-4-28 13:06
8764
-
TheMida带壳跟踪,断点处F7,程序退出,这种反跟踪的原理是什么?
好久不见,不寒喧,开门见山,请问各位前辈:od带壳跟踪加themida的exe,在断点断住以后,f7步入,程序不能跟入反而直接退出,是不是因为有SEH反跟踪?遇到这种情况怎么办?是不是断住以后清除TF 标识位就能躲过?
于是在 postexitmessage,exitprocess,terminateprocess上下断点,企图找到反调试代码让程序退出的地方,但不能成功断住,是否应该下硬件执行断点?是否反调试代码跳过了退出进程的api的入口代码,应该把断点向后移动?
而且,我还发现在程序上设置的断点有时候能断住,有时候则不能。我怀疑是themida壳生成了另外几个线程在不停检测断点,有时线程在断点没有执行的时候检测到了,就退出程序了。有时候程序执行到断点处能成功中断,这是因为这时还没有轮到检测线程检测该处断点,所以断点就能执行,请问前辈,我的猜测对吗?怎样躲过反调试对断点的检测呢?谢谢先!!!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
