[讨论]关于(猥锁的Check Debug)-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于(猥锁的Check Debug)

发表于: 2009-3-30 11:11 11122

[讨论]关于(猥锁的Check Debug)

mosker

2009-3-30 11:11

11122

突发奇想写了一个检查自己是否被调试的方法,欢迎来测试.
规则:
1.不能附加进程.
2.用调试器直接运行能够跑到主程序界面.

前几天那个有不少问题今天修正了希望再次得到各位高人指点.

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

CheckDebug.rar （263.39kb，44次下载）

收藏・2

免费・0

支持

最新回复 (37) 1 2 ▶
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 2 楼直接运行都没见界面这回看到了，还是在虚拟机中看到界面的很猥琐，到处跳。不知道有没有新东西... http://bbs.pediy.com/showthread.php?t=70470 2009-3-30 12:03 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 3 楼不是吧 2009-3-30 12:08 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 4 楼附件重新改过应该没什么问题了. 2009-3-30 12:18 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼桌面上双击，无法运行 3击也试过了，无法运行 4击我不会难道能anti桌面？ 2009-3-30 13:54 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 6 楼 4击成功,还是无法运行。 2009-3-30 14:04 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 7 楼有问题的请报下详细系统类型. 目前测试中,发现和系统有关系,但肯定是可以利用的,只是没有调试好导致有些系统无法正常运行,程序加了Virtualizer1.3.1.0没有任何Anit. 说明下该Anit的方法目前还没有发现有被发表过. 等我再改进下兼容性重发. 2009-3-30 14:41 0
LOCKLOSE 雪币： 14870 活跃值： (4663) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 20 关注私信	LOCKLOSE 2 8 楼直接跑. 上传的附件： 2009-03-30_150242.gif （11.88kb，789次下载） 2009-3-30 15:03 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼缺页中断次数和调试有什么关系？？？ 2009-3-30 15:31 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 10 楼跑不起来 2009-3-30 15:38 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 11 楼先测试下新的609k 说明下,这个Anit只是测试,随便简单的写了个判断,但可以深入应用. 2009-3-30 15:39 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼依然跑不起来 LZ的思路不对我机器一般进程数在60以上，你的进程优先级又不高，缺页次数肯定很多，这样判断是否调试，也太搞笑了 2009-3-30 15:42 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 13 楼那么海风月影请看看这个,正常运行和OD加载的值各是多少. 上传的附件： AnitDebugTestShowCount.rar （313.54kb，26次下载） 2009-3-30 15:49 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 14 楼不和你乱玩了，浪费时间真机直接运行：103 真机OD加载：69 虚拟机直接运行：73 虚拟机OD加载：47 2009-3-30 16:01 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 15 楼难道一点价值都没有?........ 2009-3-30 16:08 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 16 楼楼主还是研究一下 FindWindow 之类的还好一点 StrongOD建议最好是搭配原版的OD, 没记错的话 FindWindow("OLLYDBG" 就过不了了. ExeCrypt用的ReadProcessMemory好像SOD也过不了. 得手动. 实际多了. 2009-3-30 18:02 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 17 楼 LS没用驱动吧 ollydbg.ini里面有这4项设置一下 [Plugin StrongOD] KernelMode=1 HideWindow=1 HideProcess=1 ProtectProcess=1 目前挡不住GetWindow 2009-3-30 18:05 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 18 楼没有. 我不能用KernelMode, 所以只好妥协. 2009-3-30 18:10 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 19 楼当真GetWindow可以查到OD 2009-3-30 18:20 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 20 楼还是海风牛啊几个跳就跳晕了膜拜 2009-3-30 20:25 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 21 楼你可以查到原版OD，但是查不到sessiondiy的OD 2009-3-30 21:15 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 22 楼任何东西,稳定性是最重要的这也是当初aspr 和现在tmd成功的原因 2009-3-30 22:51 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 23 楼 2000下蓝屏？ 2009-3-31 10:47 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 24 楼让更多人来测试下,也欢迎讨论各种检测手段. 2009-3-31 17:57 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 25 楼 if winver=5.0 { set [a,b,c,d,e]:= 1d2,12e,170,189,1fe } []:= GetWin32kRoute(a) ;myvalue = 2 []:= GetWin32kRoute(b) ;myvalue = 0 []:= GetWin32kRoute(c) ;myvalue = 0 []:= GetWin32kRoute(d) ;myvalue = 10h []:= GetWin32kRoute(e) ;myvalue = 0 所以不管之后调用那一个都会蓝屏/直接重开机 XP没事. 2000不能直接将 .data的启始当Table直接取值 2009-3-31 18:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mosker

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (37) 1 2 ▶
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 2 楼直接运行都没见界面这回看到了，还是在虚拟机中看到界面的很猥琐，到处跳。不知道有没有新东西... http://bbs.pediy.com/showthread.php?t=70470 2009-3-30 12:03 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 3 楼不是吧 2009-3-30 12:08 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 4 楼附件重新改过应该没什么问题了. 2009-3-30 12:18 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 5 楼桌面上双击，无法运行 3击也试过了，无法运行 4击我不会难道能anti桌面？ 2009-3-30 13:54 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 6 楼 4击成功,还是无法运行。 2009-3-30 14:04 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 7 楼有问题的请报下详细系统类型. 目前测试中,发现和系统有关系,但肯定是可以利用的,只是没有调试好导致有些系统无法正常运行,程序加了Virtualizer1.3.1.0没有任何Anit. 说明下该Anit的方法目前还没有发现有被发表过. 等我再改进下兼容性重发. 2009-3-30 14:41 0
LOCKLOSE 雪币： 14870 活跃值： (4663) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 20 关注私信	LOCKLOSE 2 8 楼直接跑. 上传的附件： 2009-03-30_150242.gif （11.88kb，789次下载） 2009-3-30 15:03 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 9 楼缺页中断次数和调试有什么关系？？？ 2009-3-30 15:31 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 10 楼跑不起来 2009-3-30 15:38 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 11 楼先测试下新的609k 说明下,这个Anit只是测试,随便简单的写了个判断,但可以深入应用. 2009-3-30 15:39 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼依然跑不起来 LZ的思路不对我机器一般进程数在60以上，你的进程优先级又不高，缺页次数肯定很多，这样判断是否调试，也太搞笑了 2009-3-30 15:42 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 13 楼那么海风月影请看看这个,正常运行和OD加载的值各是多少. 上传的附件： AnitDebugTestShowCount.rar （313.54kb，26次下载） 2009-3-30 15:49 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 14 楼不和你乱玩了，浪费时间真机直接运行：103 真机OD加载：69 虚拟机直接运行：73 虚拟机OD加载：47 2009-3-30 16:01 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 15 楼难道一点价值都没有?........ 2009-3-30 16:08 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 16 楼楼主还是研究一下 FindWindow 之类的还好一点 StrongOD建议最好是搭配原版的OD, 没记错的话 FindWindow("OLLYDBG" 就过不了了. ExeCrypt用的ReadProcessMemory好像SOD也过不了. 得手动. 实际多了. 2009-3-30 18:02 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 17 楼 LS没用驱动吧 ollydbg.ini里面有这4项设置一下 [Plugin StrongOD] KernelMode=1 HideWindow=1 HideProcess=1 ProtectProcess=1 目前挡不住GetWindow 2009-3-30 18:05 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 18 楼没有. 我不能用KernelMode, 所以只好妥协. 2009-3-30 18:10 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 19 楼当真GetWindow可以查到OD 2009-3-30 18:20 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 20 楼还是海风牛啊几个跳就跳晕了膜拜 2009-3-30 20:25 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 21 楼你可以查到原版OD，但是查不到sessiondiy的OD 2009-3-30 21:15 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 22 楼任何东西,稳定性是最重要的这也是当初aspr 和现在tmd成功的原因 2009-3-30 22:51 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 23 楼 2000下蓝屏？ 2009-3-31 10:47 0
mosker 雪币： 128 活跃值： (20) 能力值： ( LV3，RANK：35 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	mosker 24 楼让更多人来测试下,也欢迎讨论各种检测手段. 2009-3-31 17:57 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 25 楼 if winver=5.0 { set [a,b,c,d,e]:= 1d2,12e,170,189,1fe } []:= GetWin32kRoute(a) ;myvalue = 2 []:= GetWin32kRoute(b) ;myvalue = 0 []:= GetWin32kRoute(c) ;myvalue = 0 []:= GetWin32kRoute(d) ;myvalue = 10h []:= GetWin32kRoute(e) ;myvalue = 0 所以不管之后调用那一个都会蓝屏/直接重开机 XP没事. 2000不能直接将 .data的启始当Table直接取值 2009-3-31 18:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复