[讨论]某软件的anti-debug-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
frozenrain 雪币： 107 活跃值： (1437) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 506 粉丝 1 关注私信	frozenrain 2008-11-22 11:04 2 楼 0 试试 bp API_Address+5
athlor 雪币： 207 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 109 粉丝 0 关注私信	athlor 2008-11-22 13:33 3 楼 0 就是下不了断.. 可以下断那就没问题了. 继续期待答案..
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 275 粉丝 5 关注私信	XPoy 3 2008-11-22 14:21 4 楼 0 F2不能断该是软件会搜索int3指令 F4不行该是软件使用了硬件断点寄存器不能排除软件有其他法子
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2008-11-22 20:53 5 楼 0 这种事情太多了哈……
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2008-11-22 20:58 6 楼 0 anti-debug不好玩，倒是看雪第一美女的名头诱人啊
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 334 粉丝 1 关注私信	somuch 1 2008-11-22 21:31 7 楼 0 紧跟在大师的楼下
athlor 雪币： 207 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 109 粉丝 0 关注私信	athlor 2008-11-23 10:26 8 楼 0 拜托.. 都打那么多字了,顺便指点一二啊.
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 2008-11-23 14:55 9 楼 0 跟随大师脚步~
书呆彭雪币： 2108 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 26 回帖 1860 粉丝 2 关注私信	书呆彭 6 2008-11-23 18:13 10 楼 0 对，如果是检测int3断点，可以先这么试试，比如 bp MessageBoxA + 5 当然不同的API，在+5处有可能不是一条指令的边界，所以保险一点，Ctrl+G来到MessageBoxA后，往下拉几行，然后F2下断点。还有个方法，你可以试试bp MessageBoxW，因为MessageBoxA会调用MessageBoxW的，如果MessageBoxA的入口点被检测，可以试试MessageBoxW，说不定这里没有被检测。而至于它检测硬件断点，你可以在GetThreadContext处下断点，程序要检测调试寄存器，就必须通过这个API。如果int3断点被检测，可以下硬件断点。这个硬件断点应该是不会被检测的。 PS:断点检测我只知道这种方法，如果有其它检测断点的方法，那上面的就不可用了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (9)
frozenrain 雪币： 107 活跃值： (1437) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 506 粉丝 1 关注私信	frozenrain 2008-11-22 11:04 2 楼 0 试试 bp API_Address+5
athlor 雪币： 207 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 109 粉丝 0 关注私信	athlor 2008-11-22 13:33 3 楼 0 就是下不了断.. 可以下断那就没问题了. 继续期待答案..
XPoy 雪币： 242 活跃值： (418) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 275 粉丝 5 关注私信	XPoy 3 2008-11-22 14:21 4 楼 0 F2不能断该是软件会搜索int3指令 F4不行该是软件使用了硬件断点寄存器不能排除软件有其他法子
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 2008-11-22 20:53 5 楼 0 这种事情太多了哈……
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 874 粉丝 4 关注私信	mstwugui 6 2008-11-22 20:58 6 楼 0 anti-debug不好玩，倒是看雪第一美女的名头诱人啊
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 334 粉丝 1 关注私信	somuch 1 2008-11-22 21:31 7 楼 0 紧跟在大师的楼下
athlor 雪币： 207 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 109 粉丝 0 关注私信	athlor 2008-11-23 10:26 8 楼 0 拜托.. 都打那么多字了,顺便指点一二啊.
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 2008-11-23 14:55 9 楼 0 跟随大师脚步~
书呆彭雪币： 2108 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 26 回帖 1860 粉丝 2 关注私信	书呆彭 6 2008-11-23 18:13 10 楼 0 对，如果是检测int3断点，可以先这么试试，比如 bp MessageBoxA + 5 当然不同的API，在+5处有可能不是一条指令的边界，所以保险一点，Ctrl+G来到MessageBoxA后，往下拉几行，然后F2下断点。还有个方法，你可以试试bp MessageBoxW，因为MessageBoxA会调用MessageBoxW的，如果MessageBoxA的入口点被检测，可以试试MessageBoxW，说不定这里没有被检测。而至于它检测硬件断点，你可以在GetThreadContext处下断点，程序要检测调试寄存器，就必须通过这个API。如果int3断点被检测，可以下硬件断点。这个硬件断点应该是不会被检测的。 PS:断点检测我只知道这种方法，如果有其它检测断点的方法，那上面的就不可用了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复