QQ登录

只需一步,快速开始

搜索
查看: 3631|回复: 5

某软件检测到OD就退出怎么解决

[复制链接]

3

积分

1

主题

0

精华

临时会员

违规
0 点
JmPoint
42 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-12-26
最后登录
2016-1-12
在线时间
5 小时
发表于 2016-1-3 16:18:39 | 显示全部楼层 |阅读模式
30JmPoint
软件加的是TMD的壳,

起初我以为是TMD壳对调试器的检测..

然后自己写空程序加了TMD壳,然而并没有退出

后面在ExitProcess段首Retn也没什么用

一天下来发现程序运行之后会先结束自己,然后再运行自己,这时候才有界面出来。

无意间发现先运行OD,再运行软件,软件就不会退出。

但是即使这样,当OD获取到焦点的时候程序就退出了.

最后用一个被用力修改的OD终于不被检测了,但是即使第一次跑起来,它还是会结束自己,然后再运行自己

也就是只能用附加了,但是附加之后OD就显示异常,没法调试。。

求大牛指点

软件链接:下载地址

最佳答案

查看完整内容

第一步 先干掉 这个OD检测。不干掉会崩溃 具体哪个模块的不清楚 主要是API和窗体 直接nop 第二步 发现 第一个进程跟第二个进程直接区别为有启动参数 和 无启动参数 算法不清楚。直接找原点分析。 随便 给进程一个数字参数 跟踪 注意eax 此处取出了 启动参数。相比下面就是对比或者分析了 一个很明显的易语言比较。 比较的返回结果与0比较。简单明了 这个时候 已经启动成功了 但是 后边仍然有一个窗体检测。当然 简单 ...

评分

参与人数 1JmPoint +5 收起 理由
BambooQJ + 5 很标准的提问帖。逻辑清楚 问题明了 加一.

查看全部评分

回复

使用道具 举报

903

积分

167

主题

8

精华

坛主

Rank: 9Rank: 9Rank: 9

违规
0 点
JmPoint
9531 点
声望
31 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-23
最后登录
2020-3-1
在线时间
804 小时

论坛元勋奖章特殊贡献勋章4st TeAm成员土豪勋章

发表于 2016-1-3 16:18:40 | 显示全部楼层


第一步 先干掉 这个OD检测。不干掉会崩溃   具体哪个模块的不清楚  主要是API和窗体 直接nop



第二步 发现  第一个进程跟第二个进程直接区别为有启动参数 和 无启动参数 算法不清楚。直接找原点分析。
随便 给进程一个数字参数 跟踪


注意eax 此处取出了 启动参数。相比下面就是对比或者分析了

一个很明显的易语言比较。

比较的返回结果与0比较。简单明了
这个时候 已经启动成功了  但是 后边仍然有一个窗体检测。当然 简单的一笔  特征码搜索即可  可参考昨天囚徒发的特征码 我这边没有记..  毕竟我用的扫地OD防止窗体检测。。根本不用处理。当然 如果你跟我一样懒的话  推荐直接Findwindow 直接返回-1 影响程序部分功能。

总体来说  没啥难点


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即加入

x

点评

膜拜QJ师傅这么快找到关键点,我想知道这个检测Call是怎么跟到的,第一个线索是什么,还有这个检测参数Call?  详情 回复 发表于 2016-1-4 23:31
毕竟我用的扫地OD防止窗体检测  发表于 2016-1-4 18:23
回复

使用道具 举报

3

积分

1

主题

0

精华

临时会员

违规
0 点
JmPoint
42 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-12-26
最后登录
2016-1-12
在线时间
5 小时
发表于 2016-1-3 16:24:02 | 显示全部楼层
我想知道作者是怎么防止附加调试的。。
回复

使用道具 举报

3

积分

1

主题

0

精华

临时会员

违规
0 点
JmPoint
42 点
声望
0 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-12-26
最后登录
2016-1-12
在线时间
5 小时
发表于 2016-1-4 23:31:57 | 显示全部楼层
BambooQJ 发表于 2016-1-3 16:18
第一步 先干掉 这个OD检测。不干掉会崩溃   具体哪个模块的不清楚  主要是API和窗体 直接nop

膜拜QJ师傅这么快找到关键点,我想知道这个检测Call是怎么跟到的,第一个线索是什么,还有这个检测参数Call?

点评

耐心点 单步跟踪。。。 不难。 其实 我也不知道怎么搞的。都是猜。就是玩的时间长 比较会猜。。。  详情 回复 发表于 2016-1-5 00:28
回复

使用道具 举报

903

积分

167

主题

8

精华

坛主

Rank: 9Rank: 9Rank: 9

违规
0 点
JmPoint
9531 点
声望
31 点
赏金币
0 枚
发单信誉
0
接单信誉
0
注册时间
2015-7-23
最后登录
2020-3-1
在线时间
804 小时

论坛元勋奖章特殊贡献勋章4st TeAm成员土豪勋章

发表于 2016-1-5 00:28:33 | 显示全部楼层
尼亚 发表于 2016-1-4 23:31
膜拜QJ师傅这么快找到关键点,我想知道这个检测Call是怎么跟到的,第一个线索是什么,还有这个检测参数Ca ...

耐心点 单步跟踪。。。  不难。

              其实 我也不知道怎么搞的。都是猜。就是玩的时间长 比较会猜。。。
回复

使用道具 举报

*滑动验证:
您需要登录后才可以回帖 登录 | 立即加入

本版积分规则

关闭

站长推荐上一条 /2 下一条

QQ|Archiver|手机版|小黑屋|零日安全论坛 点击这里给我发消息

GMT+8, 2020-8-4 09:51 , Processed in 0.082057 second(s), 31 queries .

Powered by Discuz! X3.4

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表