调试器检测问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

调试器检测问题

发表于: 2005-1-9 07:05 4087

调试器检测问题

拍拖

2005-1-9 07:05

4087

常用的检测程序是否被调试器调试的方法都哪些.好象有专门针对某些调试器的方法。不过我看一个程序里使用的方法不管什么调试器都逃不过。分析发现它是判断某些API函数是不是被下了断点.

方法是先获得DLL基址然后获取某个函数的地址。然后拿这个地址里的值去与CCH做对比。这里我就有点不明白了.在指定函数上下了断和没下断时改地址的值都不是CCH.但是下断时就会改写零标志位. 造成这种原因是不是因为调试器下断后改写了函数的入口地址或入口地址里的值实现中断的.那为什么在OD中不显示这部分呢?

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (2)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 2 楼 CC就是int 3 Olly为了调试方便是不会显示int 3的，但实际上下断点时入口字节已被修改。 2005-1-9 11:32 0
拍拖雪币： 1790 活跃值： (3785) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 3 楼是不是所有调试器都这样.,我试过TRW和OD都会被它K掉。 2005-1-9 19:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

拍拖

发帖

262

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 2 楼 CC就是int 3 Olly为了调试方便是不会显示int 3的，但实际上下断点时入口字节已被修改。 2005-1-9 11:32 0
拍拖雪币： 1790 活跃值： (3785) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 3 楼是不是所有调试器都这样.,我试过TRW和OD都会被它K掉。 2005-1-9 19:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复