首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
软件逆向
发新帖
3
0
准备利用debugapi写一个loader,来inline patch一个aspr2保护的程序。
发表于: 2008-2-2 18:15
5734
准备利用debugapi写一个loader,来inline patch一个aspr2保护的程序。
auser
2008-2-2 18:15
5734
发现装入被保护的程序后,程序立即提示发现调试器并退出。
请问aspr2是怎样发现自己被debug的?
我现在只在loader中修改了 IsDebuggerPresent(),让其强制返回0,这样显然还不够。
请问还需要在那些地方进行处理,才能避免被aspr2发现?
这个程序用修改版的ollydbg可以正常调试。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
#调试逆向
收藏
・
3
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
theOcrat
雪 币:
66
活跃值:
(15)
能力值:
( LV9,RANK:330 )
在线值:
发帖
27
回帖
228
粉丝
2
关注
私信
theOcrat
8
2
楼
如果要写loader的话你可以去找找aspr的anti的资料
如果是patch原程序的话不写成loader也可以, 就不用处理那些anti了
如果是patch壳注册的话脚本已经帮你做了, 脱了就行了, 就不需要patch了
2008-2-3 10:24
0
ccfer
雪 币:
8209
活跃值:
(4518)
能力值:
( LV15,RANK:2473 )
在线值:
发帖
84
回帖
1529
粉丝
106
关注
私信
ccfer
16
3
楼
请问LZ是怎样在loader中修改IsDebuggerPresent的?
2008-2-3 11:24
0
鸡蛋壳
雪 币:
427
活跃值:
(412)
能力值:
( LV2,RANK:10 )
在线值:
发帖
456
回帖
3147
粉丝
9
关注
私信
鸡蛋壳
4
楼
写个带硬件中断功能的 loader,发现论坛有几个人破解壳的LOADER很可能是这个原理。
2008-2-3 13:21
0
采臣·宁
雪 币:
161
活跃值:
(231)
能力值:
( LV4,RANK:50 )
在线值:
发帖
33
回帖
1343
粉丝
6
关注
私信
采臣·宁
1
5
楼
只要能用OD跑,那么LOADER也行。你看看OD的ANTI-DEBUG插件开了哪些选项,对应着在LOADER中也这样实现。
2008-2-4 09:03
0
auser
雪 币:
234
活跃值:
(104)
能力值:
( LV2,RANK:10 )
在线值:
发帖
35
回帖
568
粉丝
1
关注
私信
auser
6
楼
直接WriteProcessMemory,用自己的代码覆盖原函数。
2008-2-4 22:40
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
auser
35
发帖
568
回帖
10
RANK
关注
私信
他的文章
[求助]smb445端口被封,怎么样把win7的445端口换掉?
7029
准备利用debugapi写一个loader,来inline patch一个aspr2保护的程序。
5735
[求助]使用debug api中,如果希望在某个地方中断第2次时对程序进行处理,应如何实现?
3736
[求助]debugapi编程中,为什么遇到CREATE_THREAD_DEBUG_EVENT事件后,程序就挂了?
4797
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部