某辅Z的--奇怪--反调试行为
学了一段时间逆向,想尝试逆向一个FZ。
于是拖进OD运行,然而运行后程序直接退出,重新载入FZ,在运行在退出,连个弹窗也没有!
于是在API断点--常用断点-程序退出,在这个位置下断,然而并没有什么用。研究了很长时间也没弄明白这种保护机制的原理是什么。
在OD运行的时候,程序点注册,会未响应。
麻烦各位老师帮忙看一下,出个教程什么的教两招学习一下,谢谢啦。【提前祝大家中秋节快乐,学业有成】
FZ地址:https://wwr.lanzoui.com/i43B5u6rsxe
附上检测和查壳截图:
重要代码啥都没V,随便就弄完了 反调试的api有很多,不仅仅是退出函数ExitProcess,还有退出函数TerminateProcess,还有脱离od的api,ZwSetinformationthread设置为隐藏od,还有最常用的检测是否正在被调试的api为IsDebuggerPresent,还有通过GetprocessAddress函数获取指定地址的相关16进制数据,判断是否下断,还有GetStartUpInfo函数获取启动信息,判断是否通过调试器来启动的程序,常见的反调试也就这些,一个一个试吧, starry、星空 发表于 2021-9-18 18:12
反调试的api有很多,不仅仅是退出函数ExitProcess,还有退出函数TerminateProcess,还有脱离od的api,ZwSet ...
有空的话可以用vistual studio或者qt,或者易语言去亲自体验一下这些函数,这样会理解深一些,以后遇到反调试就直接秒了 这些相关api的使用方法可以去微软官网查询,或者去csdn查阅相关资料,csdn有很多现成的反调试代码,研究透了,以后就不怕反调试了 starry、星空 发表于 2021-9-18 18:15
这些相关api的使用方法可以去微软官网查询,或者去csdn查阅相关资料,csdn有很多现成的反调试代码,研究透 ...
应该是把wrk看一遍就行了 starry、星空 发表于 2021-9-18 18:12
反调试的api有很多,不仅仅是退出函数ExitProcess,还有退出函数TerminateProcess,还有脱离od的api,ZwSet ...
谢谢大佬的指点,我来试一下看看能不能搞定 大佬真心强!求教教我吧【可爱的眼神】
帮写个小教程吧,真的难为死我了。。。
aゞ烛火 发表于 2021-9-18 18:59
重要代码啥都没V,随便就弄完了
大佬教教我吧,有偿求助 aゞ烛火 发表于 2021-9-18 18:59
重要代码啥都没V,随便就弄完了
大佬发个修改后的文件让我对照着学习一下吧,拜托了🙏🙏🙏【594800450艾特qq.com】