QQ华夏反调试分析

QQ华夏不知道什么时候加了反调试，看了一下，不是很难，写下来玩玩。

 

       QQ华夏反调试症状：OD加载后，一会就会退出。无论你开了OD，IDA,这类软件，无论你调试没有，都会被关闭掉。。加载 StrongOD 、HideOD之类反调试插件也没有用。

：~（

 

       其实反调试很简单，游戏是开启了一个线程（或者是timer）检查。检查的黑名单比较多，包括：OllyDBG , SoftICe ,华夏助手 ，华夏快乐PK，IDA 等等这些。。游戏是通过psapi.sys的EnumProcess来获取进程的列表的，我们知道，EnumProcess是通过NtQuerySystemInformation来获得进程列表的，当然你可以patch这2个函数来隐藏调试进程。

       郁闷的是，隐藏的OD进程进程，仍然会被发现。其实游戏还通过了枚举窗口和子窗口来检查黑名单进程。检查OD的子窗口的class包括 ICPU , 1212121 (呵呵，居然OD的一个子窗口的class名字叫 1212121)。  DIYOD吧。

 

       解决办法:

方法1：直接停止检测线程、或者patch检测线程，让线程直接ret..

方法2：DIYOD : 首先修改OllyDBG.exe改名字为：XXXX.exe (或者patch   EnumProcess函数或者NtQuerySystemInformation ，或者直接在内核里面隐藏掉OD)，然后DIY OD，用UltraEdit打开OD ,查找到ICPU和1212121，修改之！！！