[求助]怎样使VC6躲避调试器检测？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 2 楼你可以类似OllyDbg的Anti-Anti-Debug插件一样，自己实现个DLL注入，修改IsDebuggerPresent位。再扩充一下功能，就成了一个VC版的HideDebugger 上传的附件：未命名.jpg （9.89kb，190次下载） 2008-4-16 18:13 0
bzhkl 雪币： 437 活跃值： (518) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 405 粉丝 2 关注私信	bzhkl 5 3 楼 hidetoolz 试下 2008-4-16 18:35 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 4 楼楼上说的不错，我一时没想起来这个东西，呵呵 2008-4-16 18:48 0
souloyu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	souloyu 5 楼高人的论题，暂时不懂！ 2008-4-16 20:47 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 6 楼 hidetoolz 2.1试了下，把VC进程及被调试的进程（播放器）都隐藏了，还是被解码器发现了，失败了. 用OllyICE调试是不会被发现的，就是用了OllyICE才发现该解码器用了IsDebuggerPresent，有没有用其它的反调试方法就不知道了。 2008-4-17 11:50 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 7 楼自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov eax, dword ptr [eax+30h] movzx eax, byte ptr [eax+2h] retn } } 2008-4-17 13:56 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 8 楼 [QUOTE=shangzh;442349]自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov ...[/QUOTE] 我是想找个一劳永逸的方法，用第三方工具时，每次调试都得改，比较麻烦，一天下来上面次调试的话，太累了，所以我想VC或许有第三方插件能解决这个问题的：） 2008-4-18 14:07 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 9 楼这个不是插件哦，老兄，这个是绕过OD的 Anti Debugger的 2008-4-18 17:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 2 楼你可以类似OllyDbg的Anti-Anti-Debug插件一样，自己实现个DLL注入，修改IsDebuggerPresent位。再扩充一下功能，就成了一个VC版的HideDebugger 上传的附件：未命名.jpg （9.89kb，190次下载） 2008-4-16 18:13 0
bzhkl 雪币： 437 活跃值： (518) 能力值： ( LV12，RANK：240 ) 在线值：发帖 47 回帖 405 粉丝 2 关注私信	bzhkl 5 3 楼 hidetoolz 试下 2008-4-16 18:35 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 4 楼楼上说的不错，我一时没想起来这个东西，呵呵 2008-4-16 18:48 0
souloyu 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 40 粉丝 0 关注私信	souloyu 5 楼高人的论题，暂时不懂！ 2008-4-16 20:47 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 6 楼 hidetoolz 2.1试了下，把VC进程及被调试的进程（播放器）都隐藏了，还是被解码器发现了，失败了. 用OllyICE调试是不会被发现的，就是用了OllyICE才发现该解码器用了IsDebuggerPresent，有没有用其它的反调试方法就不知道了。 2008-4-17 11:50 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 7 楼自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov eax, dword ptr [eax+30h] movzx eax, byte ptr [eax+2h] retn } } 2008-4-17 13:56 0
sunbinjin 雪币： 174 活跃值： (620) 能力值： ( LV4，RANK：50 ) 在线值：发帖 77 回帖 466 粉丝 3 关注私信	sunbinjin 1 8 楼 [QUOTE=shangzh;442349]自己写一个IsDebuggerPresentEx偷一下系统的代码，你就检测不到了，呵呵： __declspec( naked ) BOOL IsDebuggerPresentEx() { __asm { mov eax, dword ptr fs:[18h] mov ...[/QUOTE] 我是想找个一劳永逸的方法，用第三方工具时，每次调试都得改，比较麻烦，一天下来上面次调试的话，太累了，所以我想VC或许有第三方插件能解决这个问题的：） 2008-4-18 14:07 0
shangzh 雪币： 322 活跃值： (56) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 62 粉丝 3 关注私信	shangzh 6 9 楼这个不是插件哦，老兄，这个是绕过OD的 Anti Debugger的 2008-4-18 17:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复