-
-
[旧帖]
[原创]对付RkU的反调试
0.00雪花
-
发表于:
2009-5-6 20:01
1375
-
[旧帖] [原创]对付RkU的反调试
0.00雪花
RkU加入反调试功能,代码如下:
-----------------------------------------------------------------
function IsDebuggerPresent(): BOOL;
var
pBuf: PROCESS_BASIC_INFORMATION;
begin
bytesIO := 0;
ZwQueryInformationProcess(GetCurrentProcess(), ProcessBasicInformation, @pBuf, sizeof(PROCESS_BASIC_INFORMATION), @bytesIO);
result := BOOL(pBuf.PebBaseAddress^.BeingDebugged);
end;
----------------------------------------------------------------
if IsDebuggerPresent() then ExitProcess(0);
用OllyDbg查看、执行时,RkU的汇编代码会自动消失,可以采用如下方法解决:使用OllyDbg
插件PhantOm,选择"load driver"和"hide OllyDbg windows",这样便可针对此反调试功能进行OllyDbg的隐藏,顺利进行RkU的调试。
初次发帖,请大家多多支持,不当之处,还请多多包涵,谢谢!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课