聊一聊对一个 C# 商业程序的反反调试( 二 )


首先观察一下 uf KERNELBASE!IsDebuggerPresent 函数的汇编代码 。
0:004> uf KERNELBASE!IsDebuggerPresentKERNELBASE!IsDebuggerPresent:00007ffb`0fe468a0 65488b042560000000 movrax,qword ptr gs:[60h]00007ffb`0fe468a9 0fb64002movzxeax,byte ptr [rax+2]00007ffb`0fe468ad c3ret接下来在 00007ffb0fe468ad 处下一个断点 , 即位置 KERNELBASE!IsDebuggerPresent + 0xd,然后使用寄存器修改命令 r 修改 eax 的值,再让程序 gc 即可,脚本代码如下:
0:004> bp KERNELBASE!IsDebuggerPresent+0xd "r eax =0; gc"0:004> g

聊一聊对一个 C# 商业程序的反反调试

文章插图
可以看到,此时的程序又是笑哈哈的 。
三: 总结这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用 。

推荐阅读