[求助]反调试相关QueryPerformanceCounter函数-求助问答-看雪-安全社区|安全招聘|kanxue.com

SSH山水画

2021-3-11 10:57

4028

恶意代码分析实战 Lab16-3 反调试相关

首先将OD设置为不接收任何异常

然后在401280处下段

目前已知： 401280处 edx为两次QueryPerformanceCounter时间差，当时间差大于4B0时触发反调试。

现在的情况是，我们只在401280处下一个断点，程序加载后直接F9断在这，然后观察edx，CtrlF2重新开始，直接F9，再次观察edx，重复上述步骤。

然后每次的edx值都不同，而且跨度很大，反调试也就随机触发

如上几种情况，时间差从2xx到1xxx随机，不是说QueryPerformanceCounter是精准时间戳吗，为什么会有这么大的变化。

上传的附件：

收藏・1

免费・0

支持

最新回复 (3)
SSH山水画雪币： 1226 活跃值： (15007) 能力值： ( LV12，RANK：380 ) 在线值：发帖 55 回帖 331 粉丝 390 关注私信	SSH山水画 3 2 楼顶 2021-3-11 12:01 0
littlewisp 雪币： 6308 活跃值： (4613) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 562 粉丝 13 关注私信	littlewisp 2 3 楼和时间相关的反调试，在实际产品中大量测试不靠谱 2021-3-11 15:52 0
SSH山水画雪币： 1226 活跃值： (15007) 能力值： ( LV12，RANK：380 ) 在线值：发帖 55 回帖 331 粉丝 390 关注私信	SSH山水画 3 4 楼 littlewisp 和时间相关的反调试，在实际产品中大量测试不靠谱明白了，那我就不深究了，感谢！ 2021-3-11 16:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

SSH山水画

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
SSH山水画雪币： 1226 活跃值： (15007) 能力值： ( LV12，RANK：380 ) 在线值：发帖 55 回帖 331 粉丝 390 关注私信	SSH山水画 3 2 楼顶 2021-3-11 12:01 0
littlewisp 雪币： 6308 活跃值： (4613) 能力值： ( LV13，RANK：283 ) 在线值：发帖 62 回帖 562 粉丝 13 关注私信	littlewisp 2 3 楼和时间相关的反调试，在实际产品中大量测试不靠谱 2021-3-11 15:52 0
SSH山水画雪币： 1226 活跃值： (15007) 能力值： ( LV12，RANK：380 ) 在线值：发帖 55 回帖 331 粉丝 390 关注私信	SSH山水画 3 4 楼 littlewisp 和时间相关的反调试，在实际产品中大量测试不靠谱明白了，那我就不深究了，感谢！ 2021-3-11 16:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复