小甲鱼 OD 教程:https://www.bilibili.com/video/av6889190?p=27
ReverseMe.A.B.C.D 下载地址:https://pan.baidu.com/s/1_aVUa6aDATSpE6bQgc6hLA 提取码:ebo2
[调试篇] 调试篇 - 第二十二讲 - OD使用教程22(视频+课件+试验程序)
https://fishc.com.cn/thread-28330-1-1.html
程序 A:
单独打开程序显示成功,但是 使用 原版 OD ( 不带插件的 OD ,有些 插件可以绕过 debug 检测 ) 则显示 keyfile 不可用:
现在把 OD 的 插件所在的文件夹改个名,让 OD 运行的时候无法加载插件,然后打开程序,运行,发现 Keyfile 无效:
F7 跟进去之后,可以发现 IsDebuggerPresent ,这个是 win32 的 API 函数:
既然找到了问题所在,就可以直接进行修改,可以直接 nop 掉,也可以 直接 jmp 到正确的位置。方法有多种,自己摸索尝试。
程序 B:
正常打开程序,程序显示成功,使用 OD 打开,然后运行程序,发现什么都没显示程序就中止了
可以直接 把 出错的代码 直接 nop 掉 即可。
程序 C:
正常打开程序显示正常:
使用 OD 载入程序,然后运行程序,发现直接中止:
重新载入程序 ,Ctrl + F8 ,在循环哪里 按下 F12 (暂停),然后打上断点:
F7 进入断点,进入程序分析:
可以直接 nop 掉,或者 jmp 正确位置
程序 D:
正常打开程序显示正常:
使用 OD 打开显示程序不可读:
重新载入程序 ,Ctrl + F8 ,在循环哪里 按下 F12 (暂停),然后打上断点:
按 F7 进入分析:
反调试 2:
小甲鱼 OD 教程:https://www.bilibili.com/video/av6889190?p=28
Debugger Detected 下载:https://pan.baidu.com/s/1BeFEng2HcjXINvqY-na6yg 提取码:n3bh
当不打开 OD 时,打开程序,显示没有探测到调试器:
当 打开 OD ,不载入程序,再次打开程序,发现显示 陶策到调试器:
