能力值:
( LV9,RANK:3410 )
|
-
-
2 楼
只是检测IsDebuggerPresent
00401000 E8 3B000000 call <jmp.&kernel32.IsDebuggerPresent>
00401005 83F8 01 cmp eax,1
00401008 74 15 je short tdebug.0040101F
0040100A 6A 00 push 0
0040100C 68 00304000 push tdebug.00403000 ; ASCII "Test"
00401011 68 16304000 push tdebug.00403016 ; ASCII "Debugger NOT present"
00401016 6A 00 push 0
00401018 E8 29000000 call <jmp.&user32.MessageBoxA>
0040101D EB 13 jmp short tdebug.00401032
0040101F 6A 00 push 0
00401021 68 00304000 push tdebug.00403000 ; ASCII "Test"
00401026 68 05304000 push tdebug.00403005 ; ASCII "Debugger present"
0040102B 6A 00 push 0
0040102D E8 14000000 call <jmp.&user32.MessageBoxA>
00401032 6A 00 push 0
00401034 E8 01000000 call <jmp.&kernel32.ExitProcess>
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
盼望回复,在线等,谢谢!
|
能力值:
![]()
(RANK:410 )
|
-
-
4 楼
去掉插件的确能检测到OD,但要去掉他也不难,只须对IsDebuggerPresent函数下断点,然后修改他的返回值就能避开它,还有更直接一点的话直接修改IsDebuggerPresent函数。
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
请问小虾你运行的OS是什么系统?
|
能力值:
![]()
(RANK:410 )
|
-
-
6 楼
win98和winXP双系统,OD要在win2K和winXP系统下运行比较好,在win98系统下无法下API函数断点。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
要求是不能把Exception部分打上勾
去掉程序的anti-debug部分!
将Exception部分打上勾,是一切正常的!
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
只有小虾一个人进行了测试,其他人都没兴趣吗?
|
|
|
|
