1.程序窗口[chuang kou]句柄[ju bing]检测原理:用FindWindow函数[han shu]查找[cha zhao]具有相同窗口[chuang kou]类名和标题的窗口[chuang kou],如果找到就说明[shuo ming]有OD在运行[yun hang]//*****.....
一、 前言 部分代码和参考资料来源:1、> hawking2、> Angeljyt3、http://bbs.pediy.com 4、> 看雪学院5、> Peter Ferrie二、反调试函数前缀 检测 攻击通用调试器 FD_ AD_特定调试器 FS_ AS_断点 FB_ AB_单步和跟踪 FT_ A...
分类:
其他好文 时间:
2015-05-22 16:50:20
阅读次数:
317
TLS是在线程创建后执行前,销毁后退出前自动执行的一种技术,常用于反调试技术。TLS主要有一个回调函数地址表,在PE文件中存在。一个程序放到调试器中,还没有加载到OEP时,就已经执行TLS了(因为程序的主线程在OEP前创建,而创建时会自动调用TLS,准确的说是创建后自动调用其回调函数TLS)。这时候往TLS中置入反调试检测,就达到了效果。...
分类:
其他好文 时间:
2015-05-10 09:51:33
阅读次数:
249
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex
查壳工具:PEID
脱壳工具:ollydump插件或者LordPE
脱壳修复工具:ImportREC
逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示:
应该是文件的PE结构...
分类:
其他好文 时间:
2015-04-14 08:31:30
阅读次数:
629
32位XP虚拟机,过TP的反调试。其实我也想试试Win7 X64下的TP的。奈何电脑带Win7虚拟机都卡成狗了,更别说运行游戏了。计划这个清明加根内存条,然后再试试X64 的TP言归正传。如果XP处于 DEBUG 模式,一开TP会直接蓝屏的。逆过早期的TP都知道TP是不停的调用KdDisable.....
分类:
其他好文 时间:
2015-03-30 16:12:22
阅读次数:
816
总结:1. FindWindow。比如 FindWindowA("OLLYDBG", NULL);2. EnumWindow函数调用后,系统枚举所有顶级窗口,为每个窗口调用一次回调函数。在回调函数中用 GetWindowText得到窗口标题,进行检测。3. GetForeGroundWindow返回...
分类:
其他好文 时间:
2015-01-07 10:45:18
阅读次数:
442
转贴地址:http://www.freebuf.com/tools/54562.html 0×01前言 这年头,apk 全都是加密啊,加壳啊,反调试啊,小伙伴们表示已经不能愉快的玩耍了。静态分析越来越不靠谱了,apktool、ApkIDE、jd GUI、dex2jar等已经无法满足大家的需求了。那么...
分类:
移动开发 时间:
2014-12-19 10:01:27
阅读次数:
339
加密工具,反DUMP,反调试,反编译,加密代码资源内容,混淆流程,变量。Confuser is a protector/obfuscator for .NET, providing great security to .NET Applications.Features: Anti debug...
分类:
Web程序 时间:
2014-12-18 14:59:53
阅读次数:
213
OllyDbg 使用笔记 (十九)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
反调试
先看看这四个程序。
它们自己运行时都没有问题,都显示被注册信息 “You really did it! Congratz it",但是一到OD中运行就会出现未注册或者报错。
这四个程序都对OD进行了反调试。
它们都用了IsDebuggerPresent这个API函数来判断是否程序被调试器调用。
可以先看看ReverseMe.A程序,正常运行时会出现“Y...
分类:
数据库 时间:
2014-09-09 23:05:46
阅读次数:
456
idaPro6.5Plus最终绿色版1Idapro6.5采用泄露的RicoBaumgartida专业版的授权2采用bug修复版的上一个泄露的ida6.1x861.5的f5伪代码插件3增加各种加密狗的sig4增加各种iphone系统库的sig识别5增加调试器隐藏反反调试插件6增加算法识别插件7增加2进制数据复制粘贴插件8增加资源导出..
分类:
其他好文 时间:
2014-08-19 19:18:05
阅读次数:
1296
