「固易而为」易语言防破J之软件反调试开源？

有易语言有希望 · 发表于 2019-6-23 10:47:59

本帖最后由兔子君于 2019-6-24 08:41 编辑

易语言防破四帖：1.防爆破 2.开放性网络验证防山寨 3.反调试 4.暗桩
第一帖：「固易而为」易语言防破J之窗口防push
http://bbs.125.la/forum.php?mod=viewthread&tid=14388463

第二帖：「固易而为」易语言防破J之网络验证防山寨
http://bbs.125.la/forum.php?mod=viewthread&tid=14390080

今天再来码第三个，前两贴好像没人看，不管了，继续我的帖子，看与不看那是大人的事，和我们小孩子无关
这一帖，算是分享源码，没有分析的过程
为什么不讲反反调试直接开源反调试，因为很多逆向前辈写了反反调试插件，可以忽略很多反调试，去剖析起来又比较麻烦
面对众多且强大的调试器及插件，我们只能使用一些偏门的检测来完成反调试

例如：
反调试可以用到GetStartupInfo api
StartupInfo结构体中的dwFlags/wShowWindow/hStdInput/hStdError/hStdOutput成员都可以用于检测
反调试器附加可以毁掉PE头，调试器不能识别PE文件，自然不能附加
效果如下：

当然，明眼人也能简单过掉这检测或者附加，如何更好的调用api 甚至不调用api去完成检测呢，网上也有很多PEB反调试供大家参考，放出来的容易被插件和谐而已
这里只是一个简单的api和一个修改PE头就能达到的效果，我们还可以采用占坑方式，比如A进程调试B进程占调试器的坑反附加(这里不推荐)？比如

cha询这些插件的流程，进行apihook占坑
用最简单的方式，做最有效的防破
如果软件具有价值，那可以用一些汇编置入的检测，再插入VMP标记来虚拟乱序这些代码，那就要牺牲一点效率和背弃上面这句话，不过也不冲突
还是那句话，防破J不能以牺牲效率和兼容性为基础，毕竟兼容性和效率是我们作者首先考虑的，防破只是辅Zhu功能
下面源码奉上。

反调试反附加例子源码.e (208.09 KB, 下载次数: 678)

Ahdbh · 发表于 2023-10-28 18:36:41

666666666666666666666666666666666666666666

6xxsxxs6 · 发表于 2023-10-22 14:45:04

2222222222222

zhh1122 · 发表于 2023-10-6 23:57:07

666666666666666666666666666

xiaoyingryf · 发表于 2023-7-22 12:39:02

新技能已get√

new168 · 发表于 2022-10-13 19:32:48

这两句代码用精易模块怎么写呢？

内存_置为可写 (句柄, 模块_取自身模块句柄 (), 1)
内存_写字节集 (句柄, 模块_取自身模块句柄 (), { 0 })

感谢。。。。

cfvgbhnj · 发表于 2022-10-10 09:05:59

支持开源~！感谢分享

15930887162 · 发表于 2022-9-23 11:04:11

下载试试。。。。

yangtenren123 · 发表于 2022-9-15 14:29:26

新技能已get√

qq73s5456 · 发表于 2022-8-20 21:38:51

被附加了也是显示正常

		自动登录	找回密码
密码			注册

[技术专题] 「固易而为」易语言防破J之软件反调试开源？

点评

评分

本帖被以下淘专辑推荐: