防OD附加的代码

最新推荐文章于 2020-12-16 14:31:29 发布
转载 最新推荐文章于 2020-12-16 14:31:29 发布 · 1.7k 阅读 · 0

本文介绍了一种通过修改内核模式调试函数 DbgUiRemoteBreakin 的方式来阻止调试器附加到进程的技术。该方法利用了汇编指令来实现代码注入,确保进程的安全运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

bool InstallAntiAttach()
{
HMODULE ntDll;
void *pDbgUiRemoteBreakin; //函数头
DWORD dwOldProtect;
DWORD dwCodeSize;

ntDll = GetModuleHandle("ntdll.dll");
if (ntDll)
{
  pDbgUiRemoteBreakin = GetProcAddress(ntDll,"DbgUiRemoteBreakin");
  if (pDbgUiRemoteBreakin)
  {
   __asm
   {
    //get code size
    lea eax,__CodeToCopyStart
    lea ecx,__CodeToCopyEnd
    sub ecx,eax
    mov dwCodeSize,ecx
   }
   //Make sure that we have write right
   if (VirtualProtect(pDbgUiRemoteBreakin,dwCodeSize,PAGE_EXECUTE_READWRITE,
    &dwOldProtect))
   {
    __asm
    {
     mov edi,pDbgUiRemoteBreakin
     lea esi,__CodeToCopyStart
     mov ecx,dwCodeSize
     rep movsb
     jmp __CodeEnd
    __CodeToCopyStart:
     lea eax,__CodeToCopyEnd
     jmp eax
    __CodeToCopyEnd:
    }
    __asm
    {
     xor eax,eax
     pushfd
     mov [esp],eax
     popfd
     xor ebx,ebx
     xor ecx,ecx
     xor edx,edx
     xor edi,edi
     xor esi,esi
     xor esp,esp
     xor ebp,ebp
     jmp eax
    }
   __CodeEnd:
    return true;
   }
  }
}
return false;
}

 

九一三
关注
od调试
02-19
互相学习使用,这个模块是我暂时所收集到的反od的方法
CE+OD无法附加游戏进程的破解方法
11-26
那些所谓的游戏保护 真的只是为难菜鸟而已,对于大鸟基本不起作用. 游戏无法就是采用 线程 进程 SSDT 等等这些东西来限制一些如:CE OD ASM32 这些工具调试而已 比如OD要调试一个程序进程 首先做的是2步操作 1.调用系统库中打开进程的API函数 2.创建新线程来调试程序进程. 当如果 一个游戏出现无法OD附加或者调试失败的情况,那么可以先检查下 这2个方面是否存在问题. 第一:检查SSDT表中的函数是否被修改,
VB6.0写的反调试代码止被OD等软件调试,结合VMP加壳会很棒
02-23
这些珍贵的VB代码不多,全部是原创的。可以强力保护软件被人调试分析,比如OD在这个软件上就无法调试,包括其他调试器,从原理上封调试器。
OD等调试器无法附加你的程序源码
06-03
资源介绍:。源码就是利用DeDdg函数先一步附加我们的自己进程,让其他调试器无法附加,达到反调试。资源作者:。@莫爱。资源界面:。资源下载:。
易语言OD附加技术教程与源码分享
易语言提供的“易语言OD附加”功能,实际上就是一系列源码,用于在易语言编写的程序中实现OD附加的功能。实现这一功能的源码会涉及到Windows API的调用,监测当前进程的附加情况,以及对调试器进行检测和护等...
易语言实现OD附加护教程源码解析
OD附加源码通常包含了各种技术手段,用于检测程序是否正在被调试,并在检测到调试行为时采取措施,如终止程序运行、返回错误、打乱执行逻辑或加密关键代码段等。这些手段可以大幅提高破解者的逆向工程难度,从而...
DLLOD调试EC模块
02-28
直接做成了模块。引用在程序代码前端可以止非法破解与调试
win7 64 过TP 用咱们内部OD附加.rar
09-23
【标题】"win7 64 过TP 用咱们内部OD附加.rar"涉及到的主要技术点是Windows 7 64位系统下的反调试(Over Debugging)和反保护技术,尤其是针对TP(可能指的是 Threat Prevention 或 Trend Micro 的安全护软件)的...
易语言实现反调试功能:检测并处理OD附加
检测OD调试附加,就是指程序能够检测到是否被OllyDbg附加到进程中,从而可以采取相应的反调试措施。易语言由于其易用性,在制作反调试代码方面也具有一定的简单和直接性。 接下来,我们来详细说明标题和描述中所...
易语言实现反OD调试反复附加代码
08-26
今天小编就为大家分享一篇关于易语言实现反OD调试反复附加代码,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
自写OD调试易语言模块源码
06-23
可以有效OD调试,对于其他调试器同样有效果,学习OD调试时突发灵感想到的方法
易语言止调试陷阱
06-10
可以有效的OD等调试工具,对软件的调试,不想加壳的人可以看看,只能算是一个启发吧。具体在软件里面的使用位置,还要看个人的,不过我一般在登陆的位置加。
OD解决OD的 注入的代码无响应问题
知其所以然
04-23 3397
问题描述: 笔者在用中文版的OD调试程序的时候,按F12暂停调试,但是却出现了下面的这个鬼窗口 :  顿时很苦恼啊。在  看雪  也看到了这个问题,但是没找到解决方案。 下面在网上 找到了答案。 笔者是这样解决中文版出现不能暂停程序的问题: 1, 打开下图所示的窗口: 2,在弹出的消息框中按照下面图片上的显示操作: 这样就能暂停调试程序了。 这里  是更详尽
sysenter HOOK反OD调试
_KaQqi的博客
05-12 2225
sysenter指令: SYSENTER用来快速调用一个0层的系统过程。SYSENTER是SYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYS
C++ 逆向辅助学习----汇编基础 OD调试教程 快捷键 8
qq_42095701的博客
04-14 1190
WIN32汇编与反汇编 环境:VS2010 + WIN7 64 一、全局变量赋值的汇编形式 1.OllyDbg简介 是汇编级的调试器,我们用的VS是源码级的。 反汇编窗口:显示被调试程序的反汇编代码(地址栏、HEX数据栏、汇编指令栏、注释栏) 寄存器窗口:显示当前所选线程的CPU寄存器的内容 信息窗口...
paip.提升安全性----.net C#源码止反编译以及源码加密
attilax的专栏
08-01 5088
paip.提升安全性----.net C#源码止反编译以及源码加密 1.首先,设计的时候,可以按照重要级别进行分模块DLL,或者使用不同的语言开发,重要模块使用编译型语言如VC,VB来开发。。 2.变量,方法命名:使用只有自己懂的语言做变量,方法名等..不要采用英文和中文来命名.. 这种语言只有自己懂,一般来说某个地方的方言是最佳选择,可以夹杂好几地方的方言..这样自己仍然可看懂,
易语言破解爆暗桩源码
涅槃
03-15 6738
.版本 2 .程序集 主窗口程序集 .程序集变量 已注册子程序内存数据地址, 整数型 .程序集变量 已注册子程序地址, 整数型 .程序集变量 是否已经注册, 逻辑型 .子程序 _启动子程序, 整数型, , 本子程序在程序启动后最先执行 置错误提示管理 (&错误提示管理_) 已注册子程序地址 = 到数值 (&子程序1) 已注册子程序内存数据地址 = lstrcpy
ntdll!DbgUiRemoteBreakin工作原理
如鹿渴慕泉水的专栏
12-16 1136
0:067> uf ntdll!DbgUiRemoteBreakin ntdll!DbgUiRemoteBreakin: 77a8aed0 6a08 push 8 77a8aed2 684068ae77 push offset ntdll!QueryRegistryValue+0x13d4 (77ae6840) 77a8aed7 e8a4e3fdff call ntdll!_SEH_prolog4 (77a69280) 77a8aedc 64
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值