在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 一、Windows API方法Win32提供了两个API, IsDeb...
分类:
其他好文 时间:
2014-07-27 22:02:49
阅读次数:
185
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到反调试的作用。
1、IsDebuggerPresent 这个函数从汇编的角度看,就是一下三句代码。下面依次来分析这三句代码的原理。
75593789 K> 64:A1 18000000 mov eax, dword ptr fs:[18]
7559378F ...
分类:
其他好文 时间:
2014-07-25 11:12:51
阅读次数:
352
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。一、Windows
API方法Win32提供了两个API, IsDebu...
分类:
其他好文 时间:
2014-06-13 19:30:12
阅读次数:
263
SEH用于反调试或者用于注册码的隐藏时。在没有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方……
代码如下:
void CSehDlg::RegSuc()
{
HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP);
::SetWindowText(hWnd, "Success!!");
}
void CSehDlg::RegFai...
分类:
其他好文 时间:
2014-05-18 10:03:09
阅读次数:
321
表面上看,在windows中。如果是a进程创建了b进程,那么a进程就是b进程的父进程,反之,如果是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序猿们都证实的,但是在在win Vista后面有了一个新安全消息机制,UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的时候的出现的全屏变暗的一个提示框,这...
分类:
其他好文 时间:
2014-05-13 00:20:04
阅读次数:
608
