吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9724|回复: 36
收起左侧

[原创] 一个简洁的反调试

  [复制链接]
pcjy 发表于 2018-11-15 19:15
本帖最后由 pcjy 于 2018-11-15 19:19 编辑

一个简单的反调试,只支持在x64系统上跑。代码写得很弱智,所以还望大佬见谅.


想先试试效果的请看这个->>R3的检测调试-代码无保护
https://www.52pojie.cn/thread-817900-1-1.html
(出处: 吾爱破解论坛)

1、通过异常的方式检测系统位数:
CheckBit.png

2、然后获取ntdll模块句柄:
GetModule64_A.png GetModuleHandle64
3、获取ZwQueryInformationProcess地址
GetProcAddress64.png GetProcAddress64


获取完毕后,检查是否被篡改.否则的话就获取服务号
main.png
获取到服务号之后直接进行syscall调用。

那些自己实现的函数大部分都转成了机器指令的方式丢到数组中
code.png

这样做的原因是我当初是想通过网络的方式下发的方式去执行.
还有一个要注意的是这里的code执行需要修改内存属性,因为跑到了数据段执行了。但是我抛弃了VirtualProtect函数,而是手动修改了区段属性。
代码写得很弱智,所以还望大佬见谅.

代码写得很弱智,所以还望大佬见谅.
代码写得很弱智,所以还望大佬见谅.
代码写得很弱智,所以还望大佬见谅.
这个是源码 anti.rar (194.54 KB, 下载次数: 78)

这个是汇编的源码 helloworld.rar (977 Bytes, 下载次数: 40)
strlen64.png
memcpy64.png

免费评分

参与人数 10威望 +1 吾爱币 +18 热心值 +9 收起 理由
Hmily + 1 + 8 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
shenlanhai + 1 我很赞同!
Towneast + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
spll6 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
xinkui + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
不忘初心哟 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Mxx0176 + 1 + 1 热心回复!
wmsuper + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
花花是我 + 1 + 1 热心回复!
610100 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| pcjy 发表于 2018-11-16 20:52
wieQ 发表于 2018-11-16 16:24
不知道说什么好,为什么不发布在github上呢

丑陋的代码,发上去丢人。发吾爱我都嫌丢脸
 楼主| pcjy 发表于 2018-11-15 22:22
diyc 发表于 2018-11-15 20:08
支持,学习学习!我想知道这个在R3怎么破?

该代码吧,我也不清楚怎么过
dogking 发表于 2018-11-15 19:33
ghy5256 发表于 2018-11-15 19:37 来自手机
写得很棒,共同进步。
450046181 发表于 2018-11-15 19:39
你能坚持到这个水平已经很不错了,我是不行啊,太艰苦,太乏味,呵呵  给你点赞
jacker 发表于 2018-11-15 19:49
支持原创~!
diyc 发表于 2018-11-15 20:08
支持,学习学习!我想知道这个在R3怎么破?
Mxx0176 发表于 2018-11-15 21:39
什么东西,看不懂
不忘初心哟 发表于 2018-11-15 21:59
对我非常有帮助
Yix17261 发表于 2018-11-15 22:10
顶顶顶,楼主真好
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-16 10:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表