一、关于noobyprotect
noobyprotect是出来不久的一款新壳，由一名叫nooby的新人所写，故取名noobyprotect.此壳没有用到什么新技术，都是别人用了不想用的老技术。虽然名字上有英文protect，但是个人认为，它既不是保护壳，更不是压缩壳。姑且叫它另类壳。
为什么不是保护壳呢？不用虚拟机保护的壳应该是在5年前比较流行，到现在不用虚拟机保护的壳已经濒临灭绝。此时仍有人写这样的壳，应该说是开历史的倒车。但是作为新人玩玩前人不想再玩的东东，我们也无可非议。因此，也就谈不上有什么保护效果了。(如果有人认为代码执行跳来跳去也算保护?)
为什么不是压缩壳？这点我想不用多说，任何人都知道noobyprotect是膨胀机。一个小小的 nooby.dll就膨胀到2.4M之大。
二、noobyprotect的反调试
1、noobyprotect用了大量的int3 popfd来反调试。
原理：OD遇到popfd会在其后自动设置断点，首先是设置硬件断点，当硬件断点超过4个的时候就会设置int3断点。noobyprotect就是抓住这点做文章。在seh异常处理中判断是否设置了int3(0cch)断点.
对策：修改OD.
00434E32  CMP EAX,9C
00434E37  JE SHORT OllyDbg.00434E46
00434E39  MOV EDX,DWORD PTR SS:[EBP-598]
00434E3F  CMP EAX,9D
00434E44  JNZ SHORT OllyDbg.00434E5D
00434E46  MOV ESI,DWORD PTR SS:[EBP-18]  //修改此处为jmp 00434E5D，就搞定。
2、调用ZwSetInformationThread反调试。
对付ZwSetInformationThread，很多人会想到用PhantOm插件。但是noobyprotect会检测PhantOm。因此只能使用其他插件或自己手动处理。
我是采用手动处理，具体不便多说。
三、所谓anti attach.
noobyprotect用了2个线程并在线程中同样使用int3/popfd异常机制来 anti-debug和anti-attach。记得themida早期版本就用类似的方法来anti-attach，为什么后面不用了呢？因为没有任何作用。有人以为attach进去停留在线程的异常处就anti-attach了。这只能说明他对ollydbg不了解。只要把这2个线程挂起或kill就OK了。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)