VMProtect
,因此最好的选择似乎是挂接负责环境规范检查的函数,并在运行时修改其返回值。我正在使用带有StrongOD插件的OllyDbg。我已经在此处记录了所有详细信息:https://www.aldeid.com/wiki/SharifCTF-2016/hi。我已经迈出了第一步(我修改了由
SYSTEM_INFO
函数),但未能达到我在GetSystemInfo
函数上设置的第二个断点。在达到我的第二个BP之前,程序显示以下错误消息:更改任何东西或使第二个BP之前的可执行文件崩溃。我如何实现此目标?我应该如何配置OllyDbg和/或StronOD以防止程序知道它正在调试?
非常感谢您的帮助。
#1 楼
如果将Win7用作调试环境,则StrongOD
可能具有意外行为。尝试在启用ScyllaHide
配置文件的情况下使用VMProtect
插件,在调试选项中忽略Invalid or privileged instruction
异常。
评论
您应该尝试调查可执行文件的确切检测内容,而不是盲目地打开/关闭反调试功能。