网站 › 『脱壳破解区』 › 笔记之误解的TLS反调试

lufei 发表于 2017-4-9 22:09

笔记之误解的TLS反调试

本帖最后由 lufei 于 2017-4-11 20:19 编辑

这个是当遇到有TLS遇到 StrongOD（默认配置下）产生的化学反应。样本地址：http://www.52pojie.cn/thread-11446-1-1.html

现象：当我用ollydbg 加载那个加壳样本的时候，ollydbg就发生错误，然后按掉错误后，程序就跑完了，我一开始以为遇到了TLS反调试，后来发现是TLS和 StrongOD的一个误会。如下图。


1.1
产生上面的原因：StrongOD在回调函数表下了断点：


1.2

1.3

物理地址 00054010 看下那里的值，就知道OLLYDBG为什么弹出624D9DF1的框了。


1.4

然后你把所有的错误框按掉后，你就会发现程序跑飞了。
1.5

产生原因：StrongOD勾选上了Remove EP one-shot。

解决方案：
把 Remove EP one-shot（估计看到TLS段就把入口点的断点抹掉了） 和 Break On tls（在TLS回调函数处下断点） 这两个勾去掉就可以了。

冰绿茶 发表于 2017-4-10 10:28

几个论坛都看到这个帖子了                                                

lufei 发表于 2017-4-10 20:04

冰绿茶 发表于 2017-4-10 10:28
几个论坛都看到这个帖子了

我就在t00ls，52发了，你还在哪里看到？因为我从这两个论坛学到比较多的东西。

永远的永远 发表于 2017-4-9 23:07

加油。坚持下去{:301_1005:}

yt20090291 发表于 2017-4-9 23:56

加油楼主

freecode 发表于 2017-4-10 00:14

很有帮助。

xiaohong 发表于 2017-4-10 06:05

很有帮助。{:1_911:}

cdzzs3 发表于 2017-4-10 06:28

感谢分享辛苦了

nndyky 发表于 2017-4-10 07:28

加油楼主,小白支持下

因素 发表于 2017-4-10 07:32

这个不错。支持一下！

tianland 发表于 2017-4-10 08:05

加油楼主,小白支持下

bysysnet 发表于 2017-4-10 08:37

感谢分享，楼主辛苦了。

查看完整版本: 笔记之误解的TLS反调试