反调试检测_win10也支持了
本帖最后由 半斤八兩 于 2018-10-15 00:04 编辑这个是用的十多年前未公开的反调试,来试试你的OD是否能躲过检测?
如果检测不到你的OD,算你赢!
解压密码:bjbl
之前代码有问题,现在支持WIN10了
支持所有win平台
支持所有版本od,包括你珍藏多年的diy od 首先感谢分享,
其次也看到了GetWindowLongA这个函数的利用,不知道有没有对Unicode编码的暂时没看到他的姐妹函数GetWindowLongW,希望可以添加
这种方法同属特征检测,杀伤略大。
也是之前无意间看到的文章介绍了TF标志位,针对OD F9补过来检测,类似某P自销异常
部分代码:
push eflags
or dword ptr , 100h;TF=1
popfd;标志位TF=1
nop ;触发异常 SEH接管
jmp die;判断这里
感谢楼主提供的思路,最近也在看anti od的资料,我不知道这个方法有没有人在使用,大神勿喷。
第一版本我记得我跟的时候 是循环次数+2循环次数等于 4096跳出循环 GetWindowLongA(次数,0) 返回值比较是否等于5036661 等于就跳出循环 检测调试器
现在第二版我不知道修复是不是增加句柄值
虽然第二版虽然copy GetWindowLongA函数代码但是那些判断代码都竟然没有V的! --
这种检测OD方法但是不知道会不会很容易误判呢! 我过不了 只能等半斤九兩了 哇,八爷的作品,我去试试 划鸭 坐等 本帖最后由 pxhb 于 2018-10-11 22:41 编辑
看vm还原能力的时候到了{:1_918:} 大佬威武 还没调试只要开着OD就被发现了.{:17_1089:} 本帖最后由 xjun 于 2018-10-11 23:00 编辑
就正常载入运行就过了
xjun 发表于 2018-10-11 22:57
就正常载入运行就过了
不应该啊,我代码问题? 还是。。。 半斤八兩 发表于 2018-10-11 23:12
不应该啊,我代码问题? 还是。。。
肯定用了他自己那个插件;www