之前转载了一篇文章介绍了两种反调试方式,分别是ptrace自身和查看TracerPid信息,文章地址:http://www.cnblogs.com/dacainiao/p/5124151.html这一处反调试是在调试某加固时遇到的,原理是查看当前所有的tcp连接,如果有就退出,也就是本地连接的239...
分类:
移动开发 时间:
2016-01-18 19:04:25
阅读次数:
340
本文转载自:http://drops.wooyun.org/tips/94710x00 前言Android应用的加固和对抗不断升级,单纯的静态加固效果已无法满足需求,所以出现了隐藏方法加固,运行时动态恢复和反调试等方法来对抗,本文通过实例来分析有哪些对抗和反调试手段。0x01 对抗反编译首先使用ap...
分类:
移动开发 时间:
2016-01-13 12:46:56
阅读次数:
279
本文转载自:http://www.zhaoxiaodan.com/java/android/android-native%E5%8F%8D%E8%B0%83%E8%AF%95.html思考之前研究了下如何调试和尝试反一个别人加密的东西, 所以现在的体会就是:其实重点不是你如何加密, 重点是如何不让别...
分类:
移动开发 时间:
2016-01-12 15:03:29
阅读次数:
217
Linux下的反调试技术2014年01月30日? 综合? 共 2669字 ? 字号小中大?评论关闭转自http://wangcong.org/blog/archives/310如何防止自己的程序被调试器跟踪,这是一个很有趣的话题,也是反逆向工程中的一个重要话题。这里简单介绍一下Linux平台上的反调...
分类:
系统相关 时间:
2016-01-01 11:13:41
阅读次数:
416
我也有这样的经历,我觉得这个问题有很多原因:1、所调试的软件有反调试功能,这需要设置OD的隐蔽功能,但有的软件的反调试功能确实了得,它不会给机会你用OD打开它的软件;2、所调试的软件需要驱动程序(如软件狗驱动),这些驱动程序运行在系统的底层,OD无法跟踪;3、所调试的软件的链接库(DLL文件)被加密...
分类:
其他好文 时间:
2015-11-12 11:25:48
阅读次数:
294
反调试技术在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 一、Windows API方法 Win32提供了两个API,...
分类:
其他好文 时间:
2015-10-09 22:47:16
阅读次数:
201
1.程序窗口[chuang kou]句柄[ju bing]检测原理:用FindWindow函数[han shu]查找[cha zhao]具有相同窗口[chuang kou]类名和标题的窗口[chuang kou],如果找到就说明[shuo ming]有OD在运行[yun hang]//*******...
一、如何遍历驱动 在内核中,可以通过大概下面几种方法获取, 0x1. 遍历驱动对象(Driver_Object)的DriverSection域 0x2. 遍历KPCR结构体的PsLoadedModuleList域 0x3. ZwQuerySystemInformation的11号功能 0x4...
分类:
其他好文 时间:
2015-08-19 20:18:18
阅读次数:
241
在上文中,我们通过分析定位到sub_130C()这个函数有很大可能性是用来做反调试检测的,并且作者开了一个新的线程,并且用了一个while来不断执行sub_130C()这个函数,所以说我们每次手动的修改TracerPid实在是不现实。既然如此我们何不把sub_130C()这个函数给nop掉呢?为了防...
分类:
其他好文 时间:
2015-08-04 20:45:02
阅读次数:
202
