【文章标题】: 全新反调试CM

【文章作者】: 半斤八两

【软件名称】: 全新的反调试第1季（无网无壳版）.exe

【下载地址】: https://bbs.pediy.com/thread-187142.htm

【使用工具】: IDA、OD、资源工具

【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

--------------------------------------------------------------------------------

作者需求：

一种全新的反调试思路.

程序主要参考了 tmd和超时代 的思路.

程序运行起来后.点那个按钮,会触发 MessageBoxA  断点.

如果你能在ollydbg中断下来, 那么,你就搞掂了,如果你搞掂了,记得分离一下  :)

                               By 半斤八兩

                                2014.04.28

0、参考资料、预备知识

1、常见进程注入的实现及内存dump分析——反射式DLL注入（下）

网址：来自 <https://bbs.pediy.com/thread-224241.htm>

2、傀儡进程技术实现

网址：来自 <085K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7#2x3o6p5@1z5o6k6Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3I4Q4x3U0k6Y4N6q4)9K6b7R3`.`.

3、在VC中使用自定义资源,FindResource,LoadResource,LockResource

网址：来自 <c0eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8X3u0D9L8$3N6K6i4K6u0W2j5$3!0E0i4K6u0r3k6$3q4C8N6i4y4W2K9g2)9J5c8X3q4J5N6r3W2U0L8r3g2K6i4K6u0r3x3e0x3#2x3U0V1J5x3W2)9J5k6h3S2@1L8h3I4Q4x3U0k6Y4N6q4)9K6b7R3`.`.

4、调试器设计（2）

网站：来自 <https://bbs.pediy.com/thread-107838.htm>

1、准备工作收集信息

1、软件运行界面

2、资源工具

获取到的信息：

1、里面藏着一个PE文件

2、Dialog里面并没有按钮的选项

3、我们将PE文件导出来为123.exe

3、查看导出来的PE文件信息

1、双击运行是显示错误的

2、我们发现导出来的PE文件里面就有我们需要的按钮

2、IDA、OD结合分析

首先想到的是应该先下MessageBoxA、MessageBoxW（当然是没用的）

1、软件操作都是双击完按钮之后触发的，那么我们该如何定位

2、OD、IDA分析上下文

通过F5跟OD大概获取到的信息：

1、程序释放出自身的PE文件

2、sub_401BB0看参数，应该是把PE文件缓冲区跟大小传进去，然后返回个PID

3、附加进程、恢复线程

3、分析sub_401BB0函数

3、1：首先分析sub_401570函数

获取到的信息：

1、拷贝PE基本信息、区段信息

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课