第23章-OllyDbg反调试之ProcessHeap,NTGlobalFlag,OutputDebugStringA1
需积分: 0 102 浏览量
2022-08-03
16:33:46
上传
评论
收藏 312KB PDF 举报
第二十三章-OllyDbg 反调试之 ProcessHeap,NTGlobalFlag,OutputDebugStringA
本章是反调试的最后一章,本章将介绍 ProcessHeap 和 NTGlobalFlag 标志位以及如何通过这两个标志位进行反调试,介绍完这部分
内容我们就掌握了常见的反调试技巧。反调试的手法还有很多,我们介绍的只是最基本,最常见的。像一些保护壳,比如说 Execryptor
的反调试是比较厉害的,我们后面再介绍。Execryptor 壳除了我们介绍的这几种反调试以外,还有别的反调试手法,它的每个新版本
都会增加一些新的反调试选项,这都是后话了,我们先来把常规的反调试手法介绍完。
HideOD 插件中提供绕过这个两个标志检测的选项,我们来看看。
HideOD 插件见附件,上一章也提供了,红圈标注的就是绕过 ProcessHeap 和 NTGlobalFlag 两个标志位的选线,我们首先还是来手工
绕过这个两个标志位的检测吧。
这两个标志置位的话表示当前进程正在被调试,很容易定位到这两个标志位。不知道大家还记得不得 IsDebuggerPresent 对应的那
个调试标志位是如何定位的,如果你不记得的话,回头去看看第 19 章,如果你弄明白如何定位那个标志位的话,那么这两个标志位也
就好定位了,因为这两个标志位就在那个标志位的附近。
评论0