QQ华夏反调试分析
来源:互联网 发布:天津广播电视网络 编辑:程序博客网 时间:2024/04/28 04:28
QQ华夏不知道什么时候加了反调试,看了一下,不是很难,写下来玩玩。
QQ华夏反调试症状:OD加载后,一会就会退出。无论你开了OD,IDA,这类软件,无论你调试没有,都会被关闭掉。。加载 StrongOD 、HideOD之类反调试插件也没有用。
:~(
其实反调试很简单,游戏是开启了一个线程(或者是timer)检查。检查的黑名单比较多,包括:OllyDBG , SoftICe ,华夏助手 ,华夏快乐PK,IDA 等等这些。。游戏是通过psapi.sys的EnumProcess来获取进程的列表的,我们知道,EnumProcess是通过NtQuerySystemInformation来获得进程列表的,当然你可以patch这2个函数来隐藏调试进程。
郁闷的是,隐藏的OD进程进程,仍然会被发现。其实游戏还通过了枚举窗口和子窗口来检查黑名单进程。检查OD的子窗口的class包括 ICPU , 1212121 (呵呵,居然OD的一个子窗口的class名字叫 1212121)。 DIYOD吧。
解决办法:
方法1:直接停止检测线程、或者patch检测线程,让线程直接ret..
方法2:DIYOD : 首先修改OllyDBG.exe改名字为:XXXX.exe (或者patch EnumProcess函数或者NtQuerySystemInformation ,或者直接在内核里面隐藏掉OD),然后DIY OD,用UltraEdit打开OD ,查找到ICPU和1212121,修改之!!!
- QQ华夏反调试分析
- qq华夏1
- qq华夏2
- qq华夏3
- qq华夏4
- qq华夏5
- qq华夏6
- icesword120反调试分析
- QQ华夏历史大时间
- 函数调试的反汇编分析
- 反反调试总结
- 反调试
- 反调试与反反调试
- 反调试与反反调试
- 华夏时报:腾讯QQ如何监视你的?
- 分析一种通过修改PE实现的反调试
- 【反调试】去除各种反调试
- 静态反调试与动态反调试
- AJAX技术入门指导
- Joel Spolsky 的七个建议
- 赛尔号登陆
- 初登宝地,留给标记
- 蜀门Online加密分析
- QQ华夏反调试分析
- MFC程序消息流程
- 关于数据库动态列呈现的实现方案---创建动态类或为Table添加TableRow
- 必杀技公布——用特征码定位关键代码,秒杀MFC程序
- 今天学会了库文件的制作
- 视频图片传输
- 最近工作总结
- 自己写的听力训练软件+背单词
- DWR快速入门