吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17512|回复: 67
收起左侧

[CrackMe] XAntiDebug2 ( 终极反调试 )

  [复制链接]
xjun 发表于 2017-10-29 15:26
CM是什么?Crackme是什么?这是什么东西?楼主发的什么?
他们都是一些公开给别人尝试破解的小程序,制作 Crackme 的人可能是程序员,想测试一下自己的软件保护技术,也可能是一位 Cracker,想挑战一下其它 Cracker 的破解实力,也可能是一些正在学习破解的人,自己编一些小程序给自己破解,KeyGenMe是要求别人做出它的 keygen (序号产生器), ReverseMe 要求别人把它的算法做出逆向分析, UnpackMe 是要求别人把它成功脱壳,本版块禁止回复非技术无关水贴。

本帖最后由 xjun 于 2017-10-30 23:17 编辑

这个反调试方法是逆向的最新的VMP3.1.2(build886)里面的,并且VMP只有特定条件才会触发这个终极反调试。
鄙人觉得这个反调试仍有很大改进空间,就把运用在最新版VMP里面反调试方法逆向出来加强了很多。
这个BUG级的反调试方法基本反掉市场上所有反调试插件(不走正常调试流程的除外)。




//////////////////////////////////////////////////////////////////////////////////////////////////

更新一个版本。前面那个版本代码判断写的太严谨,导致了有很多方法可绕过,这个版本才发挥了其精髓。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册[Register]

x

点评

请问小俊哥,你的矛跟你的盾较量,哪一个更强些?SharpOD 跟这个 XAntiDebug2,哪一款会被打脸  发表于 2017-11-7 01:21

免费评分

参与人数 10吾爱币 +20 热心值 +10 收起 理由
十方天地 + 1 + 1 虽然看不懂,但是还是感觉好屌
Sound + 7 + 1 已经处理,感谢您对吾爱破解论坛的支持!
蚯蚓翔龙 + 2 + 1 学习了
Pizza + 2 + 1 用心讨论,共获提升!
废宅小五 + 1 + 1 谢谢@Thanks!
魔弑神 + 1 + 1 我很赞同!
gxhayxj + 1 + 1 用心讨论,共获提升!
苏紫方璇 + 1 + 1 用心讨论,共获提升!
yAYa + 3 + 1 用心讨论,共获提升!
Dormleader + 1 + 1 已答复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| xjun 发表于 2017-11-3 23:00
本帖最后由 xjun 于 2017-11-3 23:07 编辑
20120427 发表于 2017-11-3 21:30
检测调试器还是使用了 ZwQueryInformationProcess 查询调试对象, 正常情况下 最后一个参数ReturnLength应 ...

你没理解到真正原理。。  这个只有逆过内核或者看过微软的开源内核源码WRK的才知道。

WRK源码一直到WIN10内核处理的时候
最后都是 *ReturnLength = sizeof(HANDLE), 而所有反调试插件都是直接把这个参数置0,而参数三(processInformation)和参数五(returnLength)为同一个地址时候,就可以检测出是否被插件处理了。

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
苏紫方璇 + 1 + 1 用心讨论,共获提升!

查看全部评分

20120427 发表于 2017-11-3 21:30
本帖最后由 20120427 于 2017-11-3 21:32 编辑

检测调试器还是使用了 ZwQueryInformationProcess 查询调试对象, 正常情况下 最后一个参数ReturnLength应该返回4, 但是如果第三个参数ProcessInformation的值同时也是最后一个参数的值,就出现问题了。。。。。。。
而吾爱OD的驱动直接把第三个参数ProcessInformation的返回值赋值为0   这就导致最后一个参数ReturnLength变成0了
原来的: 不在ntdll.dll内存里的ZwQueryInformationProcess函数


被我修改后的:


运行后的:事实证明确实如此



你的检测方法已利用

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册[Register]

x
 楼主| xjun 发表于 2017-10-31 14:57
wekabc 发表于 2017-10-31 14:36
测试自己的反调试,SE的反调试就没必要开了吧

这个嘛,我加的se默认保护。 本只想用se壳 shadow下调用的api。
 楼主| xjun 发表于 2017-10-29 22:29
本帖最后由 xjun 于 2017-10-29 22:33 编辑

OD确实有个别人改版的 伪调试插件叫做naiheqiao,伪调试原理是不走的正常调试流程的。
如果你不是用的伪调试方法,或者挂起线程啊,修改程序流程之类的,那我只能膜拜了。
https://github.com/stonedreamforest/NaiHeQiao

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Hmily + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

魔弑神 发表于 2017-10-29 22:07
遇强则强 还是能过的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册[Register]

x

免费评分

参与人数 2吾爱币 -1 热心值 +1 收起 理由
610100 + 1 回血
2217936322 -1 小朋友 你很无聊

查看全部评分

xie83544109 发表于 2017-10-29 17:11

其实,偶到是更想知道方法
65302666 发表于 2017-10-29 19:04
VT····················
fghtiger 发表于 2017-10-29 19:35
附加也不行,也被检测到。
怀念在深秋 发表于 2017-10-29 22:08
魔弑神 发表于 2017-10-29 22:07
遇强则强 还是能过的

用的什么插件啊
zbnysjwsnd8 发表于 2017-10-29 22:12
魔弑神 发表于 2017-10-29 22:07
遇强则强 还是能过的

你是怎么做到的

点评

附加的时候,有时候会把线程挂起的,所以看到了这一幕。  发表于 2017-10-29 22:16
魔弑神 发表于 2017-10-29 22:22

我并不是挂起线程 你可以配置插件 还是能过的

免费评分

参与人数 1吾爱币 -1 收起 理由
2217936322 -1 强行装逼?实则垃圾!!

查看全部评分

zbnysjwsnd8 发表于 2017-10-29 22:23
魔弑神 发表于 2017-10-29 22:22
我并不是挂起线程 你可以配置插件 还是能过的

插件反调试全都关了吗
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-28 10:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表