一个新鲜的反调试

魔弑神 19天前 17

说明; VEH调试器无效 程序代码是x64  请用x64系统测试  就三个API实现的(其中一个是退出) ,是从某个‘???Chea??? "逆的https://share.weiyun.com/ytSLB5CQ
最新回复 (11)
  • solly 19天前
    引用 2
    魔弑神 发表于 2020-9-11 16:57
    这就是你理解不对了 看来你还是对vmp很执着啊  要不要我跟vmp作者说说?

    我的意思是看到vmp就不想跟了。。。。
  • solly 19天前
    引用 3
    魔弑神 发表于 2020-9-11 14:55
    32程序 用的x64代码  而且这个是从别人的程序逆的反调试  又不是我自己的反调试

    FF55FC5F5E 可以在 0x00401000段找到两个,虽然不能下 F2 断点,但可以下硬件执行断点。
    并且硬件执行断点不影响vmp对代码的 crc 校验。不过F7进去后,又是 VMP 虚了的代码,没什么卵用。
  • solly 19天前
    引用 4
    是32位的吧,测试你自己的的反调试,用VMP干嘛?
  • 楼主 魔弑神 19天前
    引用 5
    solly 发表于 2020-9-11 14:14
    是32位的吧,测试你自己的的反调试,用VMP干嘛?

    32程序 用的x64代码  而且这个是从别人的程序逆的反调试  又不是我自己的反调试
  • 楼主 魔弑神 19天前
    引用 6
    solly 发表于 2020-9-11 15:54
    FF55FC5F5E 可以在 0x00401000段找到两个,虽然不能下 F2 断点,但可以下硬件执行断点。
    并且硬件执行 ...

    这就是你理解不对了 看来你还是对vmp很执着啊  要不要我跟vmp作者说说?
  • x64dbg 不支持wow64  cs段切换代码 我搜到5处 硬件断点不够   就看到调用了 ntdll64里面的NtProtectVirtualMemory    还有个api 不知道是不是 "NtSetInformationThread"   x64dbg 切换cs段后会异常 没法跟
  • solly 19天前
    引用 8
    初吻给奶嘴耶 发表于 2020-9-11 17:09
    x64dbg 不支持wow64  cs段切换代码 我搜到5处 硬件断点不够   就看到调用了 ntdll64里面的NtProtectVirtual ...

    可能 NtSetInformationThread 吧,可以用来脱离调试器。
  • 楼主 魔弑神 19天前
    引用 9
    初吻给奶嘴耶 发表于 2020-9-11 17:09
    x64dbg 不支持wow64  cs段切换代码 我搜到5处 硬件断点不够   就看到调用了 ntdll64里面的NtProtectVirtual ...

    NtSetInformationThread是对的
  • 引用 10
    好像没开启一处检测,开启后就真的和我那边用的撞上了hhhh。
  • llkbkh 17天前
    引用 11
    测试你反调试  你VMP 干嘛?
  • solly 16天前
    引用 12
    llkbkh 发表于 2020-9-13 13:41
    测试你反调试  你VMP 干嘛?

    反调试那一段没有V, 你搜索 retf 指令,通过远跳进入x64模式执行的反调试代码。
  • 游客
    13
返回