一个新鲜的反调试
本帖最后由 魔弑神 于 2020-9-11 12:26 编辑说明; VEH调试器无效 程序代码是x64请用x64系统测试就三个API实现的(其中一个是退出) ,是从某个‘???Chea??? "逆的
https://share.weiyun.com/ytSLB5CQ
本帖最后由 我是一个小白 于 2020-9-13 06:28 编辑
好像没开启一处检测,开启后就真的和我那边用的撞上了hhhh。 魔弑神 发表于 2020-9-11 16:57
这就是你理解不对了 看来你还是对vmp很执着啊要不要我跟vmp作者说说?
我的意思是看到vmp就不想跟了。。。。 本帖最后由 solly 于 2020-9-11 14:17 编辑
是32位的吧,测试你自己的的反调试,用VMP干嘛? solly 发表于 2020-9-11 14:14
是32位的吧,测试你自己的的反调试,用VMP干嘛?
32程序 用的x64代码而且这个是从别人的程序逆的反调试又不是我自己的反调试 魔弑神 发表于 2020-9-11 14:55
32程序 用的x64代码而且这个是从别人的程序逆的反调试又不是我自己的反调试
FF55FC5F5E 可以在 0x00401000段找到两个,虽然不能下 F2 断点,但可以下硬件执行断点。
并且硬件执行断点不影响vmp对代码的 crc 校验。
不过F7进去后,又是 VMP 虚了的代码,没什么卵用。 solly 发表于 2020-9-11 15:54
FF55FC5F5E 可以在 0x00401000段找到两个,虽然不能下 F2 断点,但可以下硬件执行断点。
并且硬件执行 ...
这就是你理解不对了 看来你还是对vmp很执着啊要不要我跟vmp作者说说? x64dbg 不支持wow64cs段切换代码 我搜到5处 硬件断点不够 就看到调用了 ntdll64里面的NtProtectVirtualMemory 还有个api 不知道是不是 "NtSetInformationThread" x64dbg 切换cs段后会异常 没法跟
初吻给奶嘴耶 发表于 2020-9-11 17:09
x64dbg 不支持wow64cs段切换代码 我搜到5处 硬件断点不够 就看到调用了 ntdll64里面的NtProtectVirtual ...
可能 NtSetInformationThread 吧,可以用来脱离调试器。 初吻给奶嘴耶 发表于 2020-9-11 17:09
x64dbg 不支持wow64cs段切换代码 我搜到5处 硬件断点不够 就看到调用了 ntdll64里面的NtProtectVirtual ...
NtSetInformationThread是对的
页:
[1]
2