首页
社区
课程
招聘
准备利用debugapi写一个loader,来inline patch一个aspr2保护的程序。
发表于: 2008-2-2 18:15 5729

准备利用debugapi写一个loader,来inline patch一个aspr2保护的程序。

2008-2-2 18:15
5729
发现装入被保护的程序后,程序立即提示发现调试器并退出。

请问aspr2是怎样发现自己被debug的?
我现在只在loader中修改了 IsDebuggerPresent(),让其强制返回0,这样显然还不够。

请问还需要在那些地方进行处理,才能避免被aspr2发现?

这个程序用修改版的ollydbg可以正常调试。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 66
活跃值: (15)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
2
如果要写loader的话你可以去找找aspr的anti的资料
如果是patch原程序的话不写成loader也可以, 就不用处理那些anti了
如果是patch壳注册的话脚本已经帮你做了, 脱了就行了, 就不需要patch了
2008-2-3 10:24
0
雪    币: 8209
活跃值: (4518)
能力值: ( LV15,RANK:2473 )
在线值:
发帖
回帖
粉丝
3
请问LZ是怎样在loader中修改IsDebuggerPresent的?
2008-2-3 11:24
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
写个带硬件中断功能的 loader,发现论坛有几个人破解壳的LOADER很可能是这个原理。
2008-2-3 13:21
0
雪    币: 154
活跃值: (221)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
只要能用OD跑,那么LOADER也行。你看看OD的ANTI-DEBUG插件开了哪些选项,对应着在LOADER中也这样实现。
2008-2-4 09:03
0
雪    币: 234
活跃值: (104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
直接WriteProcessMemory,用自己的代码覆盖原函数。
2008-2-4 22:40
0
游客
登录 | 注册 方可回帖
返回
//