一个CM,反调试,不知如何用OD调试
OD能够附加,能够在OD内打开,但是无法运行,字符串没有线索。悬赏求助如何能够用OD调试该程序,各种API断不下,是易语言程序,不求破,只求大佬指导怎么去掉反调试不能动态调试那你就静态,过不了检测就不过,这是调用xjun师傅的XAntiDebug,用dll写临时文件检测的
静态把dll提取出来 伪造初始化函数返回值,替换dll,初始化是int还是什么来的,忘了,反正就是初始化函数
或者动态找到初始化函数地址返回置0也可以,你对比下正常是1你就改0 正常是0你就改1,检测就过了,忘记了具体是几
因为是调用dll,所以你不用关心到底检测的过程是什么,你只需要知道,返回的结果是你需要修改的就行了。
膜拜会写cm的狐白大佬。 难寻。 发表于 2018-1-28 12:57
不能动态调试那你就静态,过不了检测就不过,这是调用xjun师傅的XAntiDebug,用dll写临时文件检测的
静态 ...
说的不错不过在xjun的基础上加强了 不能干掉返回来过掉此反调试 本帖最后由 难寻。 于 2018-1-28 16:56 编辑
魔弑神 发表于 2018-1-28 13:21
说的不错不过在xjun的基础上加强了 不能干掉返回来过掉此反调试
先膜拜狐白大佬
然后和楼主说一下,如果狐白大佬说的是真的,那你只能用静态提取加强dll伪造一个dll补进去了
只要让初始化失败就可以了。
/.)E8Id$[:\UJh/U@]pMfba/X:*ugo
15910791922 发表于 2018-1-28 16:53
有图为证。看下哈哈
确实 也只有驱动才能实现此反调试 因为我在调试环境中windbg发现close 函数不一样 难寻。 发表于 2018-1-28 16:53
先膜拜狐白大佬
然后和楼主说一下,如果狐白大佬说的是真的,那你只能用静态提取加强dll伪造一个dll补进 ...
xjun师傅也说过 这个要驱动才能过 魔弑神 发表于 2018-1-28 18:20
xjun师傅也说过 这个要驱动才能过
{:5_188:}你可能回复错了,或者没理解我的意思,写两个空子程序, 编译一个dll,字节集替换掉你的dll,就是伪造个函数,也就没没这个dll啥事了,也就不存在咋过的问题了~