由一道CTF对10种反调试的探究_ctf反调试-优快云博客

本文链接：https://blog.youkuaiyun.com/m0_46362499/article/details/105704790

本文详细探讨了在CTF竞赛中遇到的反动态调试技术，包括IsDebuggerPresent、CheckRemoteDebuggerPresent等10种方法。通过逆向分析，解释了这些反调试函数的工作原理，并提供了相关调试工具和技巧的使用示例。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

0x00 前言

最近做的有些ctf中总是出现一些反动态调试的情况。由次对一些常见的反动态调试进行一些总结。既然是调试，趁着这个机会探究了一下调试器如何与被调试进程建立联系的过程。

参考文章：

https://blog.youkuaiyun.com/hgy413/article/details/7996652
https://blog.youkuaiyun.com/yiyefangzhou24/article/details/6242459
https://www.52pojie.cn/thread-883664-1-1.html

https://bbs.pediy.com/thread-223857.htm

http://bbs.pediy.com/showthread.php?t=31447

https://blog.youkuaiyun.com/qq_32400847/article/details/52798050

0x01 CTF—wp

先运行一下

到ida里看一下

发现4010D7的位置无缘无故跳到了4010DE，就是这块的问题，在x32dbg搜字符串定位，把4010D7~4010E0都nop掉，

得到新的文件。重新载入ida。

经过逆向分析首先经过10次反调试，只有在不被调试的情况下才能组成正确的str1，然后对flag普通base64加密，再

进行奇偶位分别与str1与[0ff_404018^3]比较。反调试的函数主要在下面分析。

脚本如下：

import base64
str1 = "LKd8gPYWS["
str2 = "2TVBnx0lnn"
cipher = [0] * 20
for i in range(10):
    cipher[2*i] = (ord(str1[i]) ^ 3) - 2
    cipher[2*i+1] = ord(str2[i])
print''.join(map(chr,cipher))
#M2FTeV9BbnQxX0RlNnVn
end_cipher = 'M2FTeV9BbnQxX0RlNnVn'
print"D0g3{"+end_cipher.decode("base64")+"}"
#D0g3{3aSy_Ant1_De6ug}