anti trick Ⅱ －－ InString

site:325K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8@1N6r3g2S2L8g2)9J5k6h3y4G2L8b7`.`.
by 来自轻院的狼[Immlep]

这个不是什么新鲜的东西，不过我还没有见过有人在壳中使用的，用这个来做anti，它比FindWindow强很多了，不过这些东西说出来后，以后就没什么，可能以后你一看到类似的anti你就会很清楚了，另外这个anti调用的函数过多，代码长，挺不好的，本文中的例子（InString ）是我引用现成的代码的，只不过做了一下简单的修改。思路是使用GetWindow循环获取系统的窗口的标题，查看标题中是否包含了要查找的关键字，如果发现，就做坏事，这个来检测Ollydbg也挺好的，可以检测"- [CPU - ",这样的字样，另外因为Ollydbg调试的时候会把被调试程序的名称显示在Ollydbg的窗口中，所以我们也可以检测“－debugme.exe-[”这样的字符（debugme.exe为被调试程序的名称，你可以用GetFullFilename等函数来获取被加壳后程序的名称，然后再处理一下），当然最好先给这些字符加密一下了。。

还有你可以用InString来做不anti的其它事情，这样可以防止调试者在InString做手脚，另外这个anti调用的函数，你最好也让它干一些有用的东西，不要只拿来做anti,很容易被hook的:)

我测试了一下，anti效果还是良好的，什么修改版的Od都被干掉了（当然不保证以后），SoftICE的loader也不例外:)

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课