精易论坛

标题: 新手向反调试手段,检测自身是否被断点 [打印本页]
作者: Dukes    时间: 2020-7-30 17:49
标题: 新手向反调试手段,检测自身是否被断点
本帖最后由 1061787583 于 2020-7-30 17:51 编辑

写法很简单,思路也很简单,就是第一次初始化时将代码段的开始地址到结束的地址所有的字节累加起来,然后再写个死循环重新累加对比初始化时的字节累加总数,不同就是被下了断点,改下初始化逻辑能应付下破J新手,其原理是当设置断点后,对应位置的机器码(第一个字节)会被替换成0XCC(对应的汇编指令为int3)字节变化了那么累加起来的数就会不同,达到了检测断点的效果,新手可以看看,大佬绕道咯







检测断点.e (674.43 KB, 下载次数: 282)


作者: xklm    时间: 2020-7-30 20:06
学习学习~~~~~~~~~~~
作者: liuhuijie    时间: 2020-7-30 20:52
思路不错 学习一下 如果 加上vmp 壳  应该破J难度会 成倍上升  发现被下断点 直接开始 格式化硬盘
作者: jiang910615    时间: 2020-7-30 21:15
所以这个时候Drx硬件断点就显得很牛逼了
作者: Dukes    时间: 2020-7-30 22:01
jiang910615 发表于 2020-7-30 21:15
所以这个时候Drx硬件断点就显得很牛逼了

对呀 硬件断点在这上面没痕迹 这方法检测不出来
作者: djmy2018    时间: 2020-7-30 23:14
所以这个时候Drx硬件断点就显得很牛逼了
作者: djmy2018    时间: 2020-7-31 08:17
.版本 2

.判断循环首 (真)
    .如果真 (4198400 + i = 4718591)
        跳出循环 ()
    .如果真结束
    初始总和 = 初始总和 + 内存.读字节 (进程_取自进程ID (), 4198400 + i - 1)  ' 将程序代码段地址的字节遍历累加成总数
    i = i + 1
.判断循环尾 ()

老哥你这个  (4198400 + i = 4718591)  值是随意的, 还是什么, 能随意改吗?
作者: djmy2018    时间: 2020-7-31 08:56
liuhuijie 发表于 2020-7-30 20:52
思路不错 学习一下 如果 加上vmp 壳  应该破J难度会 成倍上升  发现被下断点 直接开始 格式化硬盘

我以前还写了一套死, 格加锁盘蓝, 等等一些, 直接搞死, 早就不用了, 只要是程序就会有出错的时候, 误伤就会很惨
作者: pwd    时间: 2020-7-31 10:26
感谢分享     
作者: 外星星人    时间: 2020-7-31 12:40
我是小学生支持
作者: Dukes    时间: 2020-7-31 14:01
djmy2018 发表于 2020-7-31 08:17
.版本 2

.判断循环首 (真)

不是乱输的,4198400十六进制是401000程序的代码段开始的地址,4718591十六进制是47FFFF程序的代码段结束的地址,开始地址一般都是一样的401000,除非改了PE文件,结束地址看你程序代码有多少了,代码多用到的字节就多,内存地址会往后延长
作者: 胖虎O    时间: 2020-7-31 15:37
这个思路好。
作者: emjka7    时间: 2020-9-1 20:45
1061787583 发表于 2020-7-30 22:01
对呀 硬件断点在这上面没痕迹 这方法检测不出来

那就检测Dr寄存器上面的地址是否和自身程序地址相等呗
作者: lengxuan    时间: 2021-11-4 20:45
支持开源~!感谢分享
作者: 141    时间: 2021-11-21 19:25
666666666666666
作者: 141    时间: 2021-11-21 19:25
66666666666666666
作者: 皮卡丘666    时间: 2021-12-12 20:58
感谢分享   
作者: 啊泽    时间: 2022-1-19 15:28
6666666666666666
作者: ghost12    时间: 2022-4-10 11:00
大神,请收下我的膝盖
作者: jianqi448    时间: 2023-7-9 17:39
学习一下学习一下学习一下学习一下学习一下学习一下
作者: jianqi448    时间: 2023-7-9 17:40
学习一下学习一下学习一下学习一下
作者: xiaoyingryf    时间: 2023-7-22 12:38
学习一下学习一下学习一下学习一下
作者: 13488281952    时间: 2023-11-6 12:55
大哥能问下结束地址为什么是这个值
作者: 欢乐何在    时间: 2023-12-1 13:59
谢谢分享



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4