吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9190|回复: 10
收起左侧

[调试逆向] Anti-防止调试器附加

[复制链接]
Ruin 发表于 2012-8-14 05:57
*******************************************************
反跟踪技术
防止调试器附加
本文来自解密三正版
Ruin.
********************************************************
  @get_api_addr "NTDLL.DLL","ZwContinue"
  xchg ebx,eax
;  得到Ntdll.dll的ZwContinue地址
  call a1
  dd 0
a1: push PAGE_READWRITE
  push 5
  push ebx
  call VirtualProtect
  @check 0,"Error: cannot deprotect the region!"
;   申请内存读写权限
  lea edi,_ZwContinue_b
  mov ecx,0Fh
  mov esi,ebx
  rep movsb
;   Edi寄存器指向我们自定义的一块大小为0F的内存区域,
;   这正是Ntdll.ZwContinue函数的大小。rep movsb指令把
;   原始ZwContinue函数复制到我们指定的ZwContinue_b处
  lea eax,_ZwContinue
  mov edi,ebx
  call  make_jump
  
;   _ZwContinue处地址放入eax,原函数地址放入edi,调用
;   make_jump在原函数开头构造一个跳转指令(常用伎俩)。
  @debug  "attach debugger to me now!",
MB_ICONINFORMATION

exit: mov byte ptr [flag],1
;   正常调用,flag为1
  push  0
  @callx  ExitProcess
make_jump:
  pushad
  mov byte ptr [edi],0E9h
  sub eax,edi
  sub eax,5
  mov dword ptr [edi+1],eax
  popad
  ret
;   保留所有寄存器,构造跳转,使ZwContinue原函数跳入我
;   们的_ZwContinue执行
flag db 0
;   定义flag,用来判断是否被附加调试
_ZwContinue: pushad
  cmp byte ptr [flag],0
  jne we_q
  @debug "Debugger found!",MB_ICONERROR
we_q: popad
;   判断flag是否为0,如果为0,检测到调试器,否则继续
;   执行下面的代码,正是我们复制的ZwContinue原始代码
_ZwContinue_b: db 0Fh dup (0)
comment $  
  77F5B638 > B8 20000000      MOV EAX,20
  77F5B63D   BA 0003FE7F      MOV EDX,7FFE0300
  77F5B642   FFD2             CALL EDX
  77F5B644   C2 0800          RETN 8
$
;   复制完成后,这里看起来应该是上边的样子
end start

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

pjrra 发表于 2012-8-14 06:40
抢个沙发坐
a13686593572 发表于 2012-8-14 06:54
52pjzy 发表于 2012-8-14 08:59
大早晨的,楼主辛苦。。。。。。。。。。。。
PjUser 发表于 2012-8-14 09:01
是不是帖子显示有问题?
Chenxs110 发表于 2012-8-14 09:13
inline hook
junlinsky 发表于 2012-8-15 14:24
不错 , 要是有易语言就好了
yyneal 发表于 2012-8-15 14:39
试试看看好不好用。
mingyuan 发表于 2012-8-16 10:28
学习,,,,
头像被屏蔽
vk929495v 发表于 2014-7-21 10:50
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 20:07

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表