24小时热门版块排行榜

返回列表

当前主题已经存档。

sdlj8051

金虫 (著名写手)

应助: 0 (幼儿园)
贵宾: 0.1
金币: 1149.8
红花: 3
帖子: 2254
在线: 18.1小时
虫号: 71297
注册: 2005-05-30
专业: 电路与系统

[交流] [转贴]用单步跟踪Anti-Debugger

在调试器中，拙劣的debugger是用0xcc 来跟踪代码，但od就是用标志位进行单步跟踪,简单的说就是把TF置位，如果我们有自己的单步跟踪代码，od如果同时也跟踪了，就会“无视”我们自己的代码....达到anti的目的
代码如下:
;===============================cut==============================
;Author:Comic.Liu
  .386
  .model  flat,stdcall
  option  casemap  :none

  include windows.inc
  include user32.inc
  includelib  user32.lib
  include kernel32.inc
  includelib  kernel32.lib
  .const

  .data
szT db  'Title',0
szM db  'You Are Passed',0
  .code
SEH  proc  pExcept

WORD,pFrame

WORD,pContext

WORD,pDispatch

WORD
pushad
assume  esi:ptr EXEPTION_RECORD,edi:ptr CONTEXT

mov  esi,[pExcept]
mov  edi,[pContext]

mov  ebx,[edi].regEip
inc  ebx
cmp  byte ptr[ebx],0
org  $-1
popfd
jz  fin
or  [edi].regFlag,100h
jmp  fin1
fin: inc  [edi].regEip
fin1: popad
mov  eax,ExceptionContinueExecution
ret

SEH  endp

start:
assume  fs:nothing
push  offset SEH
push  fs:[0]
mov  fs:[0],esp

pushfd
pushfd
or  dword ptr[esp],100h
popfd
;进入这一段代码就翘翘了
nop
ret
;=======End============
;不过可以用OD里的F4直接跳过上面那一段,到下面
popfd
invoke  MessageBox,NULL,offset szM,offset szT,NULL

pop  fs:[0]
add  esp,4
invoke  ExitProcess,0

  end  start
;==========================finish===========================
程序在nop处以Single Step事件进入seh
在seh里面，修改eip跳过代码:ret

如果od跟踪,就截断了single step,seh就不会运行了，然后就出错

[ Last edited by sdlj8051 on 2006-10-6 at 11:26 ]

回复此楼

» 猜你喜欢

基金申报已经有5人回复
基金委咋了？2026年的指南还没有出来？已经有7人回复
国自然申请面上模板最新2026版出了吗？已经有17人回复
纳米粒子粒径的测量已经有8人回复
疑惑？已经有5人回复
计算机、0854电子信息（085401-058412）调剂已经有5人回复
Materials Today Chemistry审稿周期已经有5人回复
溴的反应液脱色已经有7人回复
推荐一本书已经有12人回复
常年博士招收(双一流，工科) 已经有4人回复

1楼 2006-08-23 10:39:39

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 sdlj8051 的主题更新

返回列表