[求助]怎样使VC6躲避调试器检测？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2008-4-16 18:13 2 楼 0 你可以类似OllyDbg的Anti-Anti-Debug插件一样，自己实现个DLL注入，修改IsDebuggerPresent位。再扩充一下功能，就成了一个VC版的HideDebugger 上传的附件：未命名.jpg （9.89kb，190次下载）
bzhkl 雪币： 437 活跃值： (228) 能力值： ( LV12，RANK：240 ) 在线值：发帖 44 回帖 399 粉丝 1 关注私信	bzhkl 5 2008-4-16 18:35 3 楼 0 hidetoolz 试下
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2008-4-16 18:48 4 楼 0 楼上说的不错，我一时没想起来这个东西，呵呵
souloyu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	souloyu 2008-4-16 20:47 5 楼 0 高人的论题，暂时不懂！
sunbinjin 雪币： 172 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 83 回帖 455 粉丝 2 关注私信	sunbinjin 1 2008-4-17 11:50 6 楼 0 hidetoolz 2.1试了下，把VC进程及被调试的进程（播放器）都隐藏了，还是被解码器发现了，失败了. 用OllyICE调试是不会被发现的，就是用了OllyICE才发现该解码器用了IsDebuggerPresent，有没有用其它的反调试方法就不知道了。
shangzh 雪币： 320 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 2008-4-17 13:56 7 楼 0 自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov eax, dword ptr [eax+30h] movzx eax, byte ptr [eax+2h] retn } }
sunbinjin 雪币： 172 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 83 回帖 455 粉丝 2 关注私信	sunbinjin 1 2008-4-18 14:07 8 楼 0 [QUOTE=shangzh;442349]自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov ...[/QUOTE] 我是想找个一劳永逸的方法，用第三方工具时，每次调试都得改，比较麻烦，一天下来上面次调试的话，太累了，所以我想VC或许有第三方插件能解决这个问题的：）
shangzh 雪币： 320 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 2008-4-18 17:08 9 楼 0 这个不是插件哦，老兄，这个是绕过OD的 Anti Debugger的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2008-4-16 18:13 2 楼 0 你可以类似OllyDbg的Anti-Anti-Debug插件一样，自己实现个DLL注入，修改IsDebuggerPresent位。再扩充一下功能，就成了一个VC版的HideDebugger 上传的附件：未命名.jpg （9.89kb，190次下载）
bzhkl 雪币： 437 活跃值： (228) 能力值： ( LV12，RANK：240 ) 在线值：发帖 44 回帖 399 粉丝 1 关注私信	bzhkl 5 2008-4-16 18:35 3 楼 0 hidetoolz 试下
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2008-4-16 18:48 4 楼 0 楼上说的不错，我一时没想起来这个东西，呵呵
souloyu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	souloyu 2008-4-16 20:47 5 楼 0 高人的论题，暂时不懂！
sunbinjin 雪币： 172 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 83 回帖 455 粉丝 2 关注私信	sunbinjin 1 2008-4-17 11:50 6 楼 0 hidetoolz 2.1试了下，把VC进程及被调试的进程（播放器）都隐藏了，还是被解码器发现了，失败了. 用OllyICE调试是不会被发现的，就是用了OllyICE才发现该解码器用了IsDebuggerPresent，有没有用其它的反调试方法就不知道了。
shangzh 雪币： 320 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 2008-4-17 13:56 7 楼 0 自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov eax, dword ptr [eax+30h] movzx eax, byte ptr [eax+2h] retn } }
sunbinjin 雪币： 172 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 83 回帖 455 粉丝 2 关注私信	sunbinjin 1 2008-4-18 14:07 8 楼 0 [QUOTE=shangzh;442349]自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov ...[/QUOTE] 我是想找个一劳永逸的方法，用第三方工具时，每次调试都得改，比较麻烦，一天下来上面次调试的话，太累了，所以我想VC或许有第三方插件能解决这个问题的：）
shangzh 雪币： 320 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 2008-4-18 17:08 9 楼 0 这个不是插件哦，老兄，这个是绕过OD的 Anti Debugger的
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复