精易论坛

标题: 一个防破J思路问题,防范VMP WinLicense 的反调试检测被过掉 [打印本页]
作者: wjr    时间: 2024-5-24 17:01
标题: 一个防破J思路问题,防范VMP WinLicense 的反调试检测被过掉
有个问题vmp 和 wl 都提供了反调试检测 但是还是有大佬手动过掉了 以下为大佬的过反调试教程
1.【手过VMP3.5全保护下的反调试】 https://www.bilibili.com/video/BV1G84y1i762/?share_source=copy_web&vd_source=5439487cb266b7faf4264dd1038cd7af

2.【手写驱动过VMP3.7.2全保护下的反调试】 https://www.bilibili.com/video/BV1JW4y1j7RY/?share_source=copy_web&vd_source=5439487cb266b7faf4264dd1038cd7af

3.【手过WinLicense3.1.3全保护下的反调试(Themida通用)】 https://www.bilibili.com/video/BV18G4y1h7hX/?share_source=copy_web&vd_source=5439487cb266b7faf4264dd1038cd7af

视频看了一遍发现一个共同的特点 大佬第一步都是 跳转 gs:[60]-> PEB 置0 ,vmp 和 wl 都提供了 插入dll功能 能否写一个dll检测这里然后用vmp 或者 wl 把dll导入到程序里检测是否进行了过反调试修改?

RTG5JKDPNYXFW1KBM.png (561.7 KB, 下载次数: 2)

RTG5JKDPNYXFW1KBM.png

0UOV60QGZZ_G41F0VO.png (479.81 KB, 下载次数: 2)

0UOV60QGZZ_G41F0VO.png
作者: mufu    时间: 2024-5-24 17:07
那要是vmp再上se壳
之前看论坛有老哥就是这样干
作者: 哔哔芭比波比i    时间: 2024-5-24 17:45
我可以把你dll干掉或者等反调试过掉加载你dll前把 gs:[60]-> PEB恢复呢
作者: IIIllIIl    时间: 2024-5-24 18:24
现在懒得折腾反调试了,把关键地方加虚拟化就行了
作者: justone    时间: 2024-5-24 19:22
我的小拇指啊 发表于 2024-5-24 18:24
现在懒得折腾反调试了,把关键地方加虚拟化就行了

虚拟化是什么意思啊? 论坛有相关的帖子吗。
作者: 莉繁    时间: 2024-5-24 21:33
确实,视频里说的没有问题,强力点的检查调试器会用到NtQueryInformationProcess这种,这种是取PEB表里的子成员,小曾老师有一个通过NtQueryInformationProcess获取PEB里的值来判断的一个反调试器的源码
作者: wjr    时间: 2024-5-24 21:48
哔哔芭比波比i 发表于 2024-5-24 17:45
我可以把你dll干掉或者等反调试过掉加载你dll前把 gs:[60]-> PEB恢复呢

哈哈 抛出一个问题往往伴随着新问题的产生
作者: wjr    时间: 2024-5-24 21:49
mufu 发表于 2024-5-24 17:07
那要是vmp再上se壳
之前看论坛有老哥就是这样干

我想把自己写到反调试dll用vmp 插入到程序里
作者: wjr    时间: 2024-5-24 21:51
哔哔芭比波比i 发表于 2024-5-24 17:45
我可以把你dll干掉或者等反调试过掉加载你dll前把 gs:[60]-> PEB恢复呢

vmprotect 导入dll功能 和 winlicense 导入dll 功能 都可以过掉吗 就是dll的所有子程序都可以过掉吗
作者: cs潇潇    时间: 2024-5-24 22:36
不要再防啦,我破J容易吗
作者: wjr    时间: 2024-5-24 22:53
cs潇潇 发表于 2024-5-24 22:36
不要再防啦,我破J容易吗

网上都是攻的教程 我想多学点防的
作者: wjr    时间: 2024-5-25 00:50
本帖最后由 wjr 于 2024-5-25 00:53 编辑

这里是我了解到的大佬过反调试检测的基本原理   https://www.cnblogs.com/freesec/p/6576647.html
peb段的第3个字节保存了进程是否被调试 被调试则是1 没有被调试是 0 (这也知道了大佬置0的原因了)
IsDebuggerPresent() API就是利用这个原理工作的
作者: heiyezhuquan    时间: 2024-5-25 00:56
感谢分享
作者: lcb    时间: 2024-5-25 17:35
来个大佬带带我
作者: lcb    时间: 2024-5-25 17:35
来个大佬带带我....
作者: year1970    时间: 2024-5-26 10:48
感谢分享
作者: heiyezhuquan    时间: 2024-6-4 19:01
感谢分享
作者: 候补的神    时间: 2024-6-4 21:35

感谢分享
作者: qq977352880    时间: 2024-8-9 10:30
很喜欢作者的教学风格,简单易懂。
作者: 虎子666    时间: 2024-8-10 09:07
感谢分享



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4