OD检测到调试遇到的问题

bypasshwid

软件加了tmd的壳，很早之前就遇到这个问题，今天实在受不了了，发贴求助。

在XP虚拟机里调试，刚开始，可能调试半小时，一小时甚至两个小时，都不会弹出“检测到调试器”。
但是不知道某一时间，触发了被发现了，弹窗很常见。如下图：




有的时候，不知道怎么的，就触发了，而本次就比较神奇，下个断点，一直F9，前几次F9都没事，F9键按的快了，结果就跳出来了这个检测框了。

我就发现，只要第一次出来检测框，之后无论再怎么用这个OD就会动不动弹检测框，换其他OD也不行，也是弹检测框，好像有记忆似的，
又好像留下调试痕迹似的，能记录下来，之后动不动就出现这个框，真恶心人。

我不得不恢复虚拟机快照，重新弄，也是没有办法的事情，因为我找不到解决的方法。

请问各位大佬，如何解决？

cndml

winlicense会把注册信息写入注册表跟硬盘文件，这部分检测代码执行的时候还没shadow系统api。至于检测调试器你的现象好像是壳对自身代码完整性校验，壳内部保存了一个表，是关键代码段的hash，在这些代码段下断甚至单步都会被检测到。

难寻。

弹啥框先放一边 建议你先编辑一下你那插入的图片  怕是要给你GG了

董督秀

难寻。 发表于 2024-12-23 21:56
弹啥框先放一边 建议你先编辑一下你那插入的图片  怕是要给你GG了

如何绕过这个反调试呢？

evea

UDD 删除了 试试

你好，再见

火绒剑监控一下这个程序，看看创建了什么文件还是写了注册表

go2crack

受不了就直接先脱壳了再调试吧

romobin

应该是检测到驱动了

shizhenvs

应该是检测到驱动了