一个防破J思路问题，防范VMP WinLicense 的反调试检测被过掉

wjr · 发表于 2024-5-24 17:01:06

有个问题vmp 和 wl 都提供了反调试检测但是还是有大佬手动过掉了以下为大佬的过反调试教程
1.【手过VMP3.5全保护下的反调试】 https://www.bilibili.com/video/BV1G84y1i762/?share_source=copy_web&vd_source=5439487cb266b7faf4264dd1038cd7af

2.【手写驱动过VMP3.7.2全保护下的反调试】 https://www.bilibili.com/video/BV1JW4y1j7RY/?share_source=copy_web&vd_source=5439487cb266b7faf4264dd1038cd7af

3.【手过WinLicense3.1.3全保护下的反调试（Themida通用）】 https://www.bilibili.com/video/BV18G4y1h7hX/?share_source=copy_web&vd_source=5439487cb266b7faf4264dd1038cd7af

视频看了一遍发现一个共同的特点大佬第一步都是跳转 gs：[60]-> PEB 置0 ，vmp 和 wl 都提供了插入dll功能能否写一个dll检测这里然后用vmp 或者 wl 把dll导入到程序里检测是否进行了过反调试修改？

虎子666 · 发表于 2024-8-10 09:07:17

感谢分享

qq977352880 · 发表于 2024-8-9 10:30:08

很喜欢作者的教学风格，简单易懂。

候补的神 · 发表于 2024-6-4 21:35:44

感谢分享

heiyezhuquan · 发表于 2024-6-4 19:01:38

感谢分享

year1970 · 发表于 2024-5-26 10:48:25

感谢分享

lcb · 发表于 2024-5-25 17:35:36

来个大佬带带我....

lcb · 发表于 2024-5-25 17:35:16

来个大佬带带我

heiyezhuquan · 发表于 2024-5-25 00:56:50

感谢分享

wjr · 发表于 2024-5-25 00:50:00

本帖最后由 wjr 于 2024-5-25 00:53 编辑

这里是我了解到的大佬过反调试检测的基本原理 https://www.cnblogs.com/freesec/p/6576647.html
peb段的第3个字节保存了进程是否被调试被调试则是1 没有被调试是 0 (这也知道了大佬置0的原因了)
IsDebuggerPresent() API就是利用这个原理工作的

		自动登录	找回密码
密码			注册

[其它] 一个防破J思路问题，防范VMP WinLicense 的反调试检测被过掉