吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 4505|回复: 37

[转载技术] 前无古人,后无来者的反调试方法

  [复制链接]
AoQc 发表于 2014-10-17 18:05 | 显示全部楼层 |阅读模式

本帖最后由 Crack杰 于 2014-12-2 21:24 编辑

警告:
        不要想用此下方法摧残我们辛苦工作的恒心

前言:本反调试方法不同于以往的反调试方法。
以往的反调试均以摧残调试人员的意志为基本点,目前比较强大的 VMP 与 TMD 之类的也是运用这种方法,这种方法的弊端就是对于意志坚强、好奇心强或者抖 M(就是你给他一巴掌他还发自内心感觉到爽的这一种人)来说,是无效的。目前均能有逆向 VMP,TMD 的牛○人士,也证明了这种反调试的瓶颈。本文介绍的反调试方法均是以前其他人没有使用过的、不同于常理的、非常有效的另类反调试方法。这些反调试方法充分体现了以人为……,不透剧了,往下看你就清楚了!

方法一:心理摧残法(Heart Break)/ 跳跃消息(Jump Message)
此方法对于那些心灵脆弱的人尤为有效,具体方法也很简单:

  1. 00401000 | EB 12           JMP SHORT 00401014
复制代码


在调试人员的必经之路上加一个 Jump 指令,然后空出的地方你就可以写上一些能够刺痛调试着心灵的并且他能看得懂的话语。俗话说的好:“人生不如意之事十有八九”,你绝对能找到他心灵上的弱点,用你学过的语文上的知识写出一段话,深深刺痛他的心灵。调试含有本反调试技术的程序的人轻则痛哭流涕,重则自杀身亡(到时候别把我供出来),效果非同凡响!

方法二:挑逗法(Come on baby)/ 空函数法(Empty Function)
当你进入一个 Call,发现里面只有 Retn 指令时,你会是什么样的心情?

代码:
  1. 00401000 | C3                RETN
复制代码
你可以自己写一个程序,向 PE 文件里面写入很多很多这样的空函数,使得调试者不清楚哪些函数里面有内容,哪些函数里面是空的。本反调试方法可以极大地摧残调试者进入 Call 的欲望,重者可能会产生 Call 恐惧症。

方法三:无聊透顶法(Not Interesting)/ 大量跳转法(Multi-Jump)
本方法在一处地方大量使用跳转指令,就是像下面这种样子就可以了(给人一种想跳就跳,不想跳就退出的感觉):

代码:

  1. 00401000 | EB 1A         JMP SHORT 0040101C
复制代码
这种方法比较强大,单步步过的能使人反胃,比较厉害的人还可以使用 Call/Pop、Push/Retn、JB(<-JNAE) 等指令进行跳转。本反调试适合对付那种兴趣浓厚的人,能使他们兴冷淡,最终放弃对程序的分析!

方法四:血液流尽法(No More Blood)/ 萌杀法(Moe-Kill)
这种方法适用于在发现调试器后,弹出一个对话框,对话框上绘制一幅非常萌的图片:
QQ图片20141017180410.jpg

等调试人员看到这个之后,鼻血连绵,最终会导致全身血液供氧不足而付出生命的代价。其实你还可以把这个换成吓死人的图片,普通的人在没有心理准备的情况下基本上结果都是会去医院的。调试人员还可能把胆吓破,这是一个极其凶残的反调试,慎用!

方法五:震瞎狗耳法(Ear Destruct)/ 音乐卡带法(Music Cut)
调试过游戏的人大多数都经历过,一旦用调试器断下播放音乐的线程(不是音效),一般情况下游戏的 BGM 就会像卡带一样,人听了非常不爽。你可以在你程序需要执行秘密代码的线程里加上播放音乐的代码(记住,要用 DirectSound,并且不要一次就把音频数据全部写入 Buffer)。一旦有人调试,断下那个线程,嘿嘿,耳膜时刻受到卡带声音的摧残,大脑嗡嗡作响,最后绝对会把显示器扔到窗外。不过这种反调试方法有一个非常致命的弱点就是调试者可以关掉音响……

如果大家看了上面的方法,说这些是小儿科、无稽之谈、卖萌取宠,并且会质疑 LZ 为什么从碗里跑出来放弃治疗,那么,下面的终极反调试(Ultimate Anti-Debug)方法会让你彻头彻尾地改变对本文的看法!

终极方法:不良引导(Missing Target)/ 色○攻击(Sex Attack)
食、色性也,如果调试人员看到了有比调试程序更诱人的东西又会怎么做呢?
(下面的其实是正常视频,别删,不信你就看看,我大 Bilibili 的)

代码:



  1. 00401485 | E8 ED280000     CALL 00403D77
复制代码
这种信息写在入口点效果更为明显,因为在调试器中一般(不排除 TLS)程序是断在 OEP 的,然后你就可以在 OEP 的上面或者下面写一些不良的、○秽○情信息或者是网站。其实你也完全可以将整个程序中都加入大量这样的信息。调试带这种反调试程序的人,没有定力的、或者被汇编代码消磨完定力的,基本上都会忍不住的!慢慢地,调试着表情会变得猥琐,行为会变得龌龊,肾功能也会渐渐衰竭,最终○尽人亡!英雄难过美人关,此招一出,谁与争锋!!!!

————————————————————————

怎么样,上面的技术简单而又厉害吧!其实像这样厉害的技术还有很多,大家慢慢发掘吧!
代码修改by:Crack杰





评分

参与人数 27HB +29 THX +13 收起 理由
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
29590 + 1
24567 + 2
Jawon + 1
创客者V2.0 + 1
一路走来不容易 + 1
Soul1999 + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
冷亦飞 + 1
消逝的过去 + 1
三月十六 + 1
temp + 1 + 1
慕枫二二 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
SmallEXpel + 1
叶落花开 + 2
liugu0hai + 1 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
kalove + 1
jaunic + 1
hnymsh + 1
lies + 1
喝水 + 1 骗人的大家不要相信,这个人在愚弄外行
方长 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
【谷峰】 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
tony2526 + 1 + 1 ★★★★★ 热心人,佛祖保佑你事事顺利 ,财源滚滚!!!
livingbody + 4 + 1 你将受到所有人的崇拜!
走走停停 + 2 论坛有你更精彩!感谢楼主!
若只如初见 + 1 + 1 论坛有你更精彩!感谢楼主!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
夜幽魂 发表于 2014-10-17 18:28 | 显示全部楼层

好像很牛擦 但是 我又完全看不懂啊  不顾  膜拜大牛 还是 必须的
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
heiheidz 发表于 2014-10-17 18:37 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Top丶邪少 发表于 2014-10-17 19:45 | 显示全部楼层

我擦我看过,还复制过,你能不能认真对待 复制好一点!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
风中的沙 发表于 2014-10-17 20:44 | 显示全部楼层

感谢楼主分享赞一个
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
520Kelly 发表于 2014-11-19 18:23 | 显示全部楼层

其实最屌得还是最后那个方法、
当初搞一个程序、发现调试器弹一个xx网站、叫我看完再过来
结果搞到一般的时候 又给我弹另外一个xx网站、、又叫我去看
最后搞到弹一个信息框、、大哥我没有网址了、、

我也是泪奔
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Scar-疤痕 发表于 2014-11-19 19:00 来自手机端 | 显示全部楼层

膜拜大牛!学习下!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
叶落V风 发表于 2014-11-19 19:21 | 显示全部楼层

原来还有最后一条那样的程序,好想多遇到几个,嘿嘿
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
GodIand 发表于 2014-11-22 19:05 | 显示全部楼层

{:6_218:}{:6_218:}醉了醉了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
王尼玛 发表于 2014-11-22 22:34 | 显示全部楼层

感谢分享,学习了,
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表