强制重启计算机。在内核里直接使用 OUT 指令就能强制重启计算机而不可能被任何钩子拦截。此代码可以用在反调试里。 强制关闭计算机。在内核里直接使用 OUT 指令就能强制关闭计算机而不可能被任何钩子拦截。此代码可以用在反调试里。 等待。这个等于 RING3 的 Sleep 函数了。 ...
分类:
其他好文 时间:
2019-10-22 12:57:34
阅读次数:
106
1.将要执行的代码写到类的构造函数中,并定义对应的全局变量2.将要执行的代码写到TLS回调函数中在c/c++中,我们都知道main函数是程序开始执行的地方,但是在进行反调试的时候,很多时候都需要调试检测函数在main函数之前执行。 1.将要执行的代码写到类的构造函数中,并定义对应的全局变量在wind ...
盗版行为日益猖獗,严重影响到软件开发者和开发商的知识产权及利益,反盗版技术的重要性也越来越引起人们的重视。在反盗版技术中,起最大作用的当属反调试技术。然而传统的反调试技术都存在一个弱点:他们都在程序真正开始执行之后才采取反调试手段。实际上在反调试代码被执行前,调试器有大量的时间来影响程序的执行,甚至 ...
分类:
其他好文 时间:
2018-12-06 12:13:43
阅读次数:
313
题目链接:https://pan.baidu.com/s/1wv1T4an04YaHTE5uo1Zvmw 提取码:k228 打开程序后会播放一段音乐,音乐结束后会让输入key,输入错误会显示“Maybe next year”。 首先程序使用了Tls回调函数进行反调试部分。 用IDA反编译,发现不少反 ...
分类:
其他好文 时间:
2018-11-20 01:22:44
阅读次数:
286
转自:http://www.cnblogs.com/this-543273659/archive/2013/03/04/2943380.html 在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦 ...
分类:
系统相关 时间:
2018-10-08 18:46:36
阅读次数:
236
以下为了避免插件干扰,故采用x64dbg原版进行分析。 首先我通过检测到调试器的弹窗进行栈回溯,定位到该关键点:CALL eax 由于才接触Vmp,所以是把各个保护拆分开来进行的分析,会比较简单一些,不过全保护其实也就是凑在一起罢了,只要注意顺序就行啦。 本帖只是分析基础保护反调试反虚拟机等,不涉及 ...
分类:
其他好文 时间:
2018-10-04 10:22:05
阅读次数:
189
假如您不幸遇到对Win32应用环境有足够了解的对手,以至于您的软件最终还是被凶悍的调试器任意蹂躏。但是您还远没有被打败,如果反调试技术(Anti-Debug)作为软件保护的第一道防线已经失守,您的对手只不过是掌握了一大堆汇编代码而已,毕竟代码和算法之间还是有相当距离的,所以您还有第二道防线可守——抗 ...
分类:
编程语言 时间:
2018-09-06 21:30:29
阅读次数:
156
反调试手法之CreateProcess反调试 在学习Win32 创建进程的时候.我们发现了有一个进程信息结构体. STARTUPINFO. 这个结构体可以实现反调试. 具体CreateProcess可以参考上一篇博客.: https://www.cnblogs.com/iBinary/p/95715 ...
分类:
其他好文 时间:
2018-09-02 00:03:29
阅读次数:
432
安卓ida动态调试总结 不出问题的理想步骤(带反调试的版本) 需要的软件: ida7.0/6.8 ddms(或者sdk/tools/monitor.bat) root真机一部(因为android_server是基于arm架构,而大多数模拟器基于x86,所以最好是真机)或者AVD模拟器 待调试apk( ...
分类:
移动开发 时间:
2018-08-31 21:27:29
阅读次数:
667
一、混淆 对于很多人而言是因为java才接触到“混淆”这个词,由于在前移动互联网时代在java程序中“混淆”也只是针对java代码,所以混淆基本就和对java源代码进行混淆等价。 但说到混淆的本质,不过就是将变量名、函数名由有助于开发维护人员理解其用途的名称(如my_name,get_key)改用a ...
分类:
移动开发 时间:
2018-07-20 19:03:23
阅读次数:
282
