首页
社区
课程
招聘
[旧帖] [求助]一个破解过程中使用F7和F8遇到的问题 0.00雪花
发表于: 2008-7-4 02:43 3864

[旧帖] [求助]一个破解过程中使用F7和F8遇到的问题 0.00雪花

2008-7-4 02:43
3864
00406B07    E8 02000000     CALL soft.00406B0E
00406B0C    B4 C8           MOV AH,0C8
00406B0E    873424          XCHG DWORD PTR SS:[ESP],ESI
00406B11    8DB6 FFF8FFFF   LEA ESI,DWORD PTR DS:[ESI-701]
假设EIP指向00406B07,如果用F7继续跟踪就不会被被调试的软件发现(弹出一个重新运行软件的对话框),但用F8就会被发现,这是原因啊???
按F9也会被软件发现啊,有什么办法在按F9的时候不被软件发现啊????

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
谁知道啊,自己顶一下
2008-7-5 02:15
0
雪    币: 722
活跃值: (123)
能力值: ( LV12,RANK:300 )
在线值:
发帖
回帖
粉丝
3
这里是一个近跳
00406B07    E8 02000000     CALL soft.00406B0E
这里直接跳到下面的00406B0E,而不是00406B0C
应该F7跟进,然后跟到其反调试的位置。

至于能不能在按F9的时候不被软件发现,前提是得先F7跟进之后找到其反调试的代码,知道其检测调试器的原理,才能有针对性地采取措施。
2008-7-5 12:13
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
4
那是因为你在 00406B07 按 F8 , Debugger会将 00406B0C 的 B4 改为 CC

后二列的
00406B0E    873424          XCHG DWORD PTR SS:[ESP],ESI
00406B11    8DB6 FFF8FFFF   LEA ESI,DWORD PTR DS:[ESI-701]

肯定是从 00406B0C - 701 = 40640B 开始检查是否被修改
2008-7-5 12:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
来看雪真是没有错
2008-7-5 16:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
[QUOTE=sessiondiy;476258]那是因为你在 00406B07 按 F8 , Debugger会将 00406B0C 的 B4 改为 CC

后二列的
00406B0E    873424          XCHG DWORD PTR SS:[ESP],ESI
00406B11    8DB6 FFF8FFFF   LEA ES...[/QUOTE]

好像按F7也是把下一个地址处的第一个字节改为0CCH
2008-7-6 06:11
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
7
F7 是单步. 不会造成 CC
2008-7-6 08:12
0
雪    币: 10
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
[QUOTE=sessiondiy;476258]那是因为你在 00406B07 按 F8 , Debugger会将 00406B0C 的 B4 改为 CC

后二列的
00406B0E    873424          XCHG DWORD PTR SS:[ESP],ESI
00406B11    8DB6 FFF8FFFF   LEA ES...[/QUOTE]

嗯,有道理,学习了。
2008-7-7 17:44
0
游客
登录 | 注册 方可回帖
返回
//