[求助]调试时设置run跟踪时候程序退出，怎么解决？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 2 楼怎么这么久也没人回答呢？急呀 2007-10-19 23:09 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 3 楼可能是做了条件判断吧，比如说定时调用IsDebuggerPresent，如果发现为TRUE，则退出。可能是这个原因，我猜的。 2007-10-20 08:53 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 4 楼不设置run跟踪时候是不会退出的 2007-10-20 09:52 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 5 楼谁弄过的帮帮忙呀 2007-10-20 14:02 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 6 楼 run trace是通过设置eflags的TF位实现的,反调试代码很容易检测,如 __asm { pushf test dword [esp], 100h popf jnz _debugger_detected } ... 2007-10-20 14:53 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 7 楼 [QUOTE=softworm;372917]run trace是通过设置eflags的TF位实现的,反调试代码很容易检测,如 __asm { pushf test dword [esp], 100h popf jnz _debugger_detected } ...[/QUOTE] 哪有什么应对的方法呀？ 2007-10-20 15:05 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 8 楼郁闷啦，老是问题得不到解答 2007-10-21 00:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 9 楼我写错了,应该是 pushf pop eax test eax,100h 你为什么一定要用run trace? 2007-10-21 16:05 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 10 楼软件用Vm了，我想run trace分析，有啥办法搞定不让程序退出不？ 2007-10-21 16:35 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 11 楼建议方法，先静态反汇编，找到反调试的代码，使用PE工具去掉，再调试既然run trace是通过设置eflags的TF位实现的，反调试代码一定要检测的。我没有弄过，只有这个想法供参考 2007-10-31 10:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 2 楼怎么这么久也没人回答呢？急呀 2007-10-19 23:09 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 3 楼可能是做了条件判断吧，比如说定时调用IsDebuggerPresent，如果发现为TRUE，则退出。可能是这个原因，我猜的。 2007-10-20 08:53 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 4 楼不设置run跟踪时候是不会退出的 2007-10-20 09:52 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 5 楼谁弄过的帮帮忙呀 2007-10-20 14:02 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 6 楼 run trace是通过设置eflags的TF位实现的,反调试代码很容易检测,如 __asm { pushf test dword [esp], 100h popf jnz _debugger_detected } ... 2007-10-20 14:53 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 7 楼 [QUOTE=softworm;372917]run trace是通过设置eflags的TF位实现的,反调试代码很容易检测,如 __asm { pushf test dword [esp], 100h popf jnz _debugger_detected } ...[/QUOTE] 哪有什么应对的方法呀？ 2007-10-20 15:05 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 8 楼郁闷啦，老是问题得不到解答 2007-10-21 00:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 9 楼我写错了,应该是 pushf pop eax test eax,100h 你为什么一定要用run trace? 2007-10-21 16:05 0
yuxinxxgc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 66 粉丝 0 关注私信	yuxinxxgc 10 楼软件用Vm了，我想run trace分析，有啥办法搞定不让程序退出不？ 2007-10-21 16:35 0
zhoujiamur 雪币： 224 活跃值： (16) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 127 粉丝 1 关注私信	zhoujiamur 1 11 楼建议方法，先静态反汇编，找到反调试的代码，使用PE工具去掉，再调试既然run trace是通过设置eflags的TF位实现的，反调试代码一定要检测的。我没有弄过，只有这个想法供参考 2007-10-31 10:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复