请选择 进入手机版 | 继续访问电脑版

IT资源社区(IT0365.COM)

 找回密码
 登记学习
查看: 468|回复: 8

OD插件开发入门教程三课

[复制链接]
发表于 2020-3-1 20:04:12 | 显示全部楼层 |阅读模式

想学习更多破解与编程技巧,就马上加入吧!

您需要 登录 才可以下载或查看,没有帐号?登记学习

x
3.讲解某加密视频反附加调试原理
通过前面2课对OD插件SDK进行了一些了解,及OD插件执行流程。现在以某时代7.X的加密视频为样本讲解下它的反调试原理。原理:
程序如果被调试,就无法被二次附加或再调试。
该加密程序会以一个loader的形式先释放一些文件然后调用CreateProcessW创建子进程。如下代码

[Asm] 纯文本查看 复制代码
035CFDAC   00C8F9A5  /CALL 到 CreateProcessW
035CFDB0   0304D9E4  |ModuleFileName = "C:\Users\Administrator\AppData\Local\lib\Player.dll"
035CFDB4   0302BBDC  |CommandLine = ""C:\Users\Administrator\AppData\Local\lib\Player.dll" "3670878""
035CFDB8   00000000  |pProcessSecurity = NULL
035CFDBC   00000000  |pThreadSecurity = NULL
035CFDC0   00000000  |InheritHandles = FALSE
035CFDC4   00000003  |CreationFlags = DEBUG_PROCESS|DEBUG_ONLY_THIS_PROCESS
035CFDC8   00000000  |pEnvironment = NULL
035CFDCC   00000000  |CurrentDir = NULL
035CFDD0   035CFF40  |pStartupInfo = 035CFF40
035CFDD4   035CFF30  \pProcessInfo = 035CFF30
035CFDD8   035CFFC4  指向下一个 SEH 记录的指针


关键:CreationFlags = DEBUG_PROCESS|DEBUG_ONLY_THIS_PROCESS
⑻值:DEBUG_PROCESS
含义:如果这个标志被设置,调用进程将被当做一个调试程序,并且新进程会被当做被调试的进程。系统把被调试程序发生的所有调试事件通知给调试器。
如果你使用这个标志创建进程,只有调用进程(调用CreateProcess函数的进程)可以调用WaitForDebugEvent函数。
⑼值:DEBUG_ONLY_THIS_PROCESS
含义:如果此标志没有被设置且调用进程正在被调试,新进程将成为调试调用进程的调试器的另一个调试对象。如果调用进程没有被调试,有关调试的行为就不会产生。



更多详细资料,大家可以找关于 CreateProcess API的资料


我们看到,它是以一个调试标志进行的先进程创建,所以我们无法对程序进行附加和调试。
5.jpg
视频教程在线观看:https://www.bilibili.com/video/BV1Lf4y1D7YJ/







IT资源社区 - 免责声明 1、本站会员可发帖,本主题所有言论和图片纯属会员个人意见,与本论坛立场无关.
2、本站所有帖子由该帖子作者发表,该帖子作者享有帖子相关权益.
3、本帖内容来源网友及会员分享和其它网络媒体.
4、本站仅提供学习的平台,所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,并不承担任何法律责任,如果对您的版权或者利益造成损害,请提供相应的资质证明,我们将于3个工作日内予以删除并致以最深的歉意!
5、若因内容问题IT资源社区管理员和版主有权不事先通知发贴者而删除本文.
6、本站教程仅供本站会员学习参考,不得传播及用于其他用途,学习完后请在24小时内自行删除.
7、本站邮箱地址:admin@it0365.com
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-3-4 11:05:01 | 显示全部楼层
楼主发贴辛苦了,谢谢楼主分享!我觉得IT资源社区是注册对了!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-3-4 11:42:41 | 显示全部楼层

感谢楼主的无私分享!要想IT资源社区好 就靠你我他
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-3-4 11:43:47 | 显示全部楼层
楼主发贴辛苦了,谢谢楼主分享!我觉得IT资源社区是注册对了!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-3-7 11:06:35 | 显示全部楼层
破解加密视频,好多学习资料视频exe加密的
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-5-18 20:28:59 | 显示全部楼层
不明觉厉!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-6-25 19:24:05 | 显示全部楼层
对加密视频破解有了了解
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-8-20 05:07:30 | 显示全部楼层
楼主发贴辛苦了,谢谢楼主分享!我觉得IT资源社区是注册对了!
IT资源社区 it0365.com 更多精彩内容等你发现
回复

使用道具 举报

发表于 2020-8-20 16:14:02 | 显示全部楼层

既然你诚信诚意的推荐了,那我就勉为其难的看看吧!IT资源社区不走平凡路。



                                            藏起来的小尾巴,不让你看!  
    IT资源社区 it0365.com 更多精彩内容等你发现
    回复

    使用道具 举报

    懒得打字嘛,点击右侧快捷回复 <<--快捷回复】
    您需要登录后才可以回帖 登录 | 登记学习

    本版积分规则

    关闭

    站长推荐上一条 /2 下一条

    QQ|Archiver|手机版|小黑屋|IT资源社区(IT0365.COM)

    GMT+8, 2020-10-21 23:34 , Processed in 0.049790 second(s), 18 queries .

    Powered by Discuz! X3.4

    © 2001-2017 Comsenz Inc.

    快速回复 返回顶部 返回列表