请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

梦织未来

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 5400|回复: 129

[原创] 利用异常来反调试

  [复制链接]

升级   12.67%

5

主题

1

精华

238

积分
发表于 2016-7-8 15:31:18 | 显示全部楼层 |阅读模式
本帖最后由 zquchs 于 2016-7-8 15:38 编辑

这种反调试技术也应用的很广了,最近在集合和研究着各种各样应用层的反调试技术,最后会封装成一个反调试类。先跟大家来玩一下异常反调试原理吧。


游客,如果您要查看本帖隐藏内容请回复



哎...今天够累的,签到来了...
回复

使用道具 举报

升级   10%

0

主题

0

精华

5

积分
发表于 2016-7-8 15:53:25 | 显示全部楼层
看看啊.......
回复 支持 反对

使用道具 举报

升级   1.67%

4

主题

0

精华

205

积分
发表于 2016-7-8 16:09:36 | 显示全部楼层
太热了,随便看看.....
回复 支持 反对

使用道具 举报

升级   100%

72

主题

0

精华

61

积分
发表于 2016-7-8 16:17:08 | 显示全部楼层
希望可以贴上更多代码 和大家交流
回复 支持 反对

使用道具 举报

升级   32.67%

23

主题

0

精华

99

积分
发表于 2016-7-8 17:18:05 | 显示全部楼层
66666666666666666666
回复 支持 反对

使用道具 举报

升级   100%

221

主题

66

精华

1504

积分
发表于 2016-7-8 17:32:12 | 显示全部楼层
我以前做过个用户层反调试是:
创建一个线程,线程里面有个循环,每次比如睡5秒。睡开头和结束得到的时间差必定在5秒左右,否则线程就被暂停过。因为普通情况下线程是不会被暂停的,所以从这里也可以发现异常。
最后谢谢楼主分享~
我一定是见鬼了!
回复 支持 反对

使用道具 举报

升级   9.33%

10

主题

5

精华

64

积分
发表于 2016-7-8 17:47:05 | 显示全部楼层
看看 反调试咋玩的
回复 支持 反对

使用道具 举报

升级   12.67%

5

主题

1

精华

238

积分
 楼主| 发表于 2016-7-8 18:07:21 | 显示全部楼层
mengwuji 发表于 2016-7-8 17:32
我以前做过个用户层反调试是:
创建一个线程,线程里面有个循环,每次比如睡5秒。睡开头和结束得到的时间 ...

这种思路我也试过,也是通过让线程睡眠,不过我使用的是GetTickCount这个获取系统开机到现在的时间来做,效果也很不错。
哎...今天够累的,签到来了...
回复 支持 反对

使用道具 举报

升级   12.67%

5

主题

1

精华

238

积分
 楼主| 发表于 2016-7-8 18:13:25 | 显示全部楼层
heyangy123 发表于 2016-7-8 16:17
希望可以贴上更多代码 和大家交流

嘻嘻,大家关注的是反反调试,最好就没有反调试的出现。太猥琐的方法放出来,对大家百害无益。当然,我发出来的反调试也会把反反调试的方法告诉大家。
哎...今天够累的,签到来了...
回复 支持 反对

使用道具 举报

升级   41.33%

13

主题

0

精华

112

积分
发表于 2016-7-8 18:49:35 | 显示全部楼层
Look Look 支持分享
回复 支持 反对

使用道具 举报

升级   41.33%

13

主题

0

精华

112

积分
发表于 2016-7-8 18:54:35 | 显示全部楼层
如果默认程序流程走到南极,然后在SEH中修正IP,如果异常被调试器截获就自动GG了,检测调试标志位好像没太大意义呢。
回复 支持 反对

使用道具 举报

升级   9.33%

28

主题

0

精华

64

积分
发表于 2016-7-8 19:14:51 | 显示全部楼层
看看吧................
回复 支持 反对

使用道具 举报

升级   12.67%

5

主题

1

精华

238

积分
 楼主| 发表于 2016-7-8 19:29:45 | 显示全部楼层
Chameleon 发表于 2016-7-8 18:54
如果默认程序流程走到南极,然后在SEH中修正IP,如果异常被调试器截获就自动GG了,检测调试标志位好像没太 ...

调试器截获的话是会自动挂掉,其实检测不检测调试标志位都可以,只要把正确的EIP修改回来就可以了。
哎...今天够累的,签到来了...
回复 支持 反对

使用道具 举报

升级   6%

0

主题

0

精华

3

积分
发表于 2016-7-8 20:04:22 | 显示全部楼层
111111111111111111111111111111
回复 支持 反对

使用道具 举报

升级   46%

5

主题

0

精华

119

积分
发表于 2016-7-8 20:53:59 | 显示全部楼层
看楼主表演
回复 支持 反对

使用道具 举报

升级   16%

1

主题

0

精华

8

积分
发表于 2016-7-8 21:22:24 | 显示全部楼层
顶一个顶一个
回复 支持 反对

使用道具 举报

升级   73.33%

5

主题

0

精华

160

积分
发表于 2016-7-8 23:29:00 | 显示全部楼层
是源码吗看下
回复 支持 反对

使用道具 举报

升级   44%

0

主题

0

精华

22

积分
发表于 2016-7-8 23:44:28 | 显示全部楼层
好奇 看一下 , 上面有说利用线程暂停的 也可以类似用SETTIME消息来判断 , 就算有SOD ,Anti的方法也有很多
回复 支持 反对

使用道具 举报

升级   44%

0

主题

0

精华

22

积分
发表于 2016-7-8 23:47:24 | 显示全部楼层
也许shift f9...只要调试器不处理异常就过了 期待针对StrongOD的antidebug
回复 支持 反对

使用道具 举报

升级   24%

0

主题

0

精华

12

积分
发表于 2016-7-9 00:23:08 | 显示全部楼层
谢谢分享 学习下啊
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|mengwuji ( 粤ICP备13060035号-1 )  

GMT+8, 2018-2-23 08:48 , Processed in 0.476951 second(s), 29 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表