吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7532|回复: 21
收起左侧

[原创] 笔记之误解的TLS反调试

[复制链接]
lufei 发表于 2017-4-9 22:09
本帖最后由 lufei 于 2017-4-11 20:19 编辑

这个是当遇到有TLS  遇到 StrongOD(默认配置下)产生的化学反应。样本地址:http://www.52pojie.cn/thread-11446-1-1.html

现象:当我用OllyDbg 加载那个加壳样本的时候,ollydbg就发生错误,然后按掉错误后,程序就跑完了,我一开始以为遇到了TLS反调试,后来发现是TLS  和 StrongOD的一个误会。如下图。


1.1.png
1.1

产生上面的原因:StrongOD在回调函数表下了断点:


1.2.png
1.2


1.3.png
1.3


物理地址 00054010 看下那里的值,就知道OLLYDBG为什么弹出624D9DF1的框了。

1.4.png
1.4


然后你把所有的错误框按掉后,你就会发现程序跑飞了。

1.5.png
1.5


产生原因:StrongOD勾选上了Remove EP one-shot。


解决方案:

把 Remove EP one-shot(估计看到TLS段就把入口点的断点抹掉了) 和 Break On tls(在TLS回调函数处下断点) 这两个勾去掉就可以了。

免费评分

参与人数 10吾爱币 +16 热心值 +10 收起 理由
Hmily + 7 + 1 用心讨论,共获提升!
ArrayList + 1 + 1 已答复!
chenhongleng + 1 用心讨论,共获提升!
zhang445415 + 1 + 1 谢谢@Thanks!
抢地主 + 1 + 1 热心回复!
因素 + 1 + 1 我很赞同!
Call_Bug + 1 + 1 谢谢@Thanks!
mishlin + 1 + 1 谢谢@Thanks!
守护神艾丽莎 + 1 + 1 谢谢@Thanks!
hejialong + 2 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

冰绿茶 发表于 2017-4-10 10:28
几个论坛都看到这个帖子了                                                
 楼主| lufei 发表于 2017-4-10 20:04
冰绿茶 发表于 2017-4-10 10:28
几个论坛都看到这个帖子了

我就在t00ls,52发了,你还在哪里看到?因为我从这两个论坛学到比较多的东西。
永远的永远 发表于 2017-4-9 23:07
yt20090291 发表于 2017-4-9 23:56
加油楼主
freecode 发表于 2017-4-10 00:14
很有帮助。
xiaohong 发表于 2017-4-10 06:05
很有帮助。
cdzzs3 发表于 2017-4-10 06:28
感谢分享辛苦了
nndyky 发表于 2017-4-10 07:28
加油楼主,小白支持下
因素 发表于 2017-4-10 07:32
这个不错。支持一下!
tianland 发表于 2017-4-10 08:05
加油楼主,小白支持下
bysysnet 发表于 2017-4-10 08:37
感谢分享,楼主辛苦了。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 08:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表