如何使用x64dbg绕过isDebuggerPresent

文章/答案/技术大牛

发布

1回答

debugging、reverse-engineering

我在ollydbg中找到了一个如何绕过它的指南：我发现了以下内容：我必须如何操作它才能不让它检测到调试器？

浏览 7提问于2016-08-22得票数 4

3回答

如何使用OllyDbg绕过IsDebuggerPresent？

reverse-engineering、ollydbg

我真的不知道如何绕过IsDebuggerPresent。我想我应该找到用于调试的寄存器，然后将其设置为0来欺骗IsDebuggerPresent，但我不知道如何做到这一点。有没有人能给我解释一下这应该是如何工作的，以及我如何绕过它？

浏览 0提问于2012-04-26得票数 17

回答已采纳

3回答

我试图从这个执行中找到ZipCryto密码，但是当我在ollydbg中打开它时，它总是返回到关闭程序，因为IsDebuggerPresent模块。我在互联网上找到了解决方案，并尝试-使用ollydbg插件(隐藏调试器和IsDebugPresent) -尝试在IsDebuggerPresent模块中使用NOP -尝试在IsDebuggerPresent我使用signsrch查找处理ZipCrypto密码的位置，它说 0041c57c 3052函数，其中处理ZipCrypto密码32.le

浏览 8提问于2014-05-22得票数 1

回答已采纳

1回答

滚动时x32dbg不同的汇编代码

debugging、assembly、x86、disassembly

通常，当我滚动CPU窗口时，我缺少地址009ADBF4，只有009ADBF3和009ADBF5，以及一个nop指令。然后，当我滚动起来时，指令会变回，地址009ADBF4再次丢失。正常状态： VS

浏览 4提问于2020-01-07得票数 0

2回答

无法使用envdte引用解析符号“Dte”

c#、envdte

我试图检测调试器和我得到错误“不能解决符号'Dte'”，即使与envdte引用。谷歌什么都没给我。谢谢。namespace test static class Program [STAThread] { if (p.ProcessID == spawnedPro

浏览 2提问于2015-09-17得票数 1

回答已采纳

1回答

获取进程c++使用的所有区域的列表

c++、windows、memory、region

使用Process Hacker或x64dbg等工具时，会出现内存分流(x64dbg内存图)。有没有办法在c++中显示所有这些区域及其对应的基地址和大小？我知道如何得到所有的模块，但那只给我图像，而不是映射或私有区域。 Edit2:我通过循环VirtualQuery并添加基础+区域大小，将post从改为我需要的，从而找到了解决方案。谢谢你的帮助！

浏览 3提问于2020-10-24得票数 1

1回答

当我从记忆中抛出一个pe时，我如何修复IAT？

reverse、malware、ida

我正在分析一个恶意软件，恶意软件将一个pe文件解密到内存中，如下所示我使用作为x64dbg来转储内存，然后使用IDA进行分析，但它是这样的这是一个dll，它将被注入到其他进程所以目前的过程不会加载它，那么我如何才能修复它呢？

浏览 0提问于2018-08-29得票数 4

1回答

如何获取.rdata的内存库？

debugging、assembly、memory、x86、ida

我正在使用x64dbg。在x64dbg中，我可以通过输入返回0x001A0000的mem.base(0x001C0000)来获取.rdata内存库，但是在x86汇编语言中如何做到这一点呢？

浏览 22提问于2018-08-12得票数 0

1回答

C# Win Forms应用程序的安全性

c#、winforms、security

据我所知，使用像IlSpy或Reflector这样的工具可以查看源代码，修改它并重新构建一个新的可执行文件。因此，在这种情况下，对于攻击者来说，绕过这个条件是微不足道的，就像用a==a代替a==b一样。让我们假设有一个解决方案可以完全解决这个问题，现在唯一的选择是使用像x64dbg这样的调试器来调试程序集。问题是:在这种情况下，有可能劫持应用程序的执行吗？如果是，有没有办法防止这种情况发生？

浏览 2提问于2020-07-18得票数 0

4回答

有没有办法检查当前是否附加了调试器？

visual-studio、vsix

我正在开发一个visual studio插件，我需要检查是否附加了调试器(即，应用程序当前正在运行)，以防止用户执行某些操作。我上网看了看，但找不到任何有用的东西。谢谢!

浏览 0提问于2013-05-08得票数 4

回答已采纳

3回答

禁用特定线程的VS调试器

c++、visual-studio-2008、winapi、debugging

当捕获到一个事件时，我会与一个win32窗口进行通信，以准确地询问如何处理该事件(即传递或使用它)。它实际上非常类似于HIDMacros。最终决定是否使用事件的部分实际上是在我不能控制的内存空间中运行的(即Windows本身正在运行的东西)。这意味着，不幸的是，我几乎没有能力调试这段代码。幸运的是，它是非常简单的代码，我还没有调试它。现在我已经设法通过使用超时解决了这个问题，但它真的很烦人(也就是非常容易察觉)，而且一点也不理想。我想知道的是，有没有一种编程方法可以从调试器中排除特定的线程？这个库将在其他项目中使用

浏览 1提问于2011-02-18得票数 2

回答已采纳

1回答

如何获得进程主线程的句柄？

c++、debugging、winapi

我想使用GetThreadContext函数，它需要一个threadHandle作为第一个参数。我搜索了几个小时，遍历了程序中的所有线程，以找到主线程，但似乎没有什么真正的工作。因此，我不需要回答如何使用GetThreadContext，而是如何获得正确的线程句柄来正确调用函数。顺便说一句。我想读取并设置EIP来调试我的程序。请不要开始推荐x64dbg或ida.

浏览 4提问于2022-09-05得票数 0

1回答

C# -如何查找与当前进程关联的所有句柄

c#、process

在x64dbg中，我可以看到有关进程的信息和所需的文件，但C#和WMI看起来不允许获取此类信息。 handle.exe不是很好的解决方案，我不想用它来解析数据。那么有没有什么方法可以使用C#和WMI来实现呢?如果没有，那么我可以使用什么Win32 API来查找与进程相关的句柄。ntdll.dll ->NtQueryInformationProcess it is允许我获取进程的地址，但是如何使用它来读取句柄？

浏览 123提问于2019-02-26得票数 0

3回答

使用MS弯路防止winsock注入

c++、dll、detours

我在某个地方读过一段代码，它承诺可以保护应用程序的Winsock函数不受包编辑器的攻击。例如，如果他们将数据包编辑器挂接到我的应用程序上，他们将看不到任何关于数据包日志的内容？谢谢。请大家讨论一下。

浏览 1提问于2013-04-15得票数 0

回答已采纳

3回答

在组件中查找Main

c++、debugging、assembly、reverse-engineering

<< endl; 使用以下命令编译：cl /EHsc hello.cpp入口点与主要功能不相同。我找到了主函数，它在入口点附近的某个地方，我有字符串，我很容易找到它。是否有任何方法、规则或最佳实践来猜测main的相应代码在哪里？

浏览 6提问于2017-01-02得票数 5

回答已采纳

2回答

C#反调试方法OutputDebugString不能正常工作

c#、debugging、pinvoke、windbg、native-code

static extern void OutputDebugString(string lpOutputString); 注意，我阅读了不应该从本机环境调用GetLastError的方法，因为值可以更改，所以我使用

浏览 3提问于2015-12-04得票数 0

回答已采纳

1回答

Windows10入口点x64处的寄存器值

windows、assembly、windows-10、x86-64、entry-point

我最近写了一个小程序，简单地使用winapi显示一个弹出对话框。我在x64dbg调试器中启动了它，看看它是如何编译的，并学习了一些关于汇编的知识。

浏览 7提问于2021-03-08得票数 1

1回答

检测运行在AQTime下？避免崩溃调试代码

delphi、aqtime

尝试在IDE下运行它(使用Embarcadero RAD Studio XE)。TThreadNameInfo;begin if IsDebuggerPresent显然，IsDebuggerPresent在AQTime下运行时是真的，但是异常没有得到正确的处理。AQTime为8.

浏览 2提问于2015-05-21得票数 3

回答已采纳

1回答

为什么在加载_main文件时没有找到“.exe”符号？

c、debugging、assembly、symbols、ollydbg

编写一个简单的hello_world.c程序，并使用32位MinGW进行编译，objdump可以使用以下方法显示符号表：然后符号表中有一个用于_main但是，当在hello_world.exe调试器中加载x64dbg文件时，不会显示_main符号，当选择hello_world模块时，可以从下面的符号列表中看到这一点。知道如何

浏览 0提问于2018-08-13得票数 1

回答已采纳

1回答

程序检测沙箱当前-如何防止？

virtualization、reverse-engineering

游戏使用技术来检测sandboxie的存在，我在网上发现有关这个问题的信息是稀缺的，但是似乎是因为在游戏过程的模块列表中检测到了"SbieDll.dll“的存在。我从逻辑上考虑了这一点，并假设它们使用类似于PEB_LDR_DATA结构的东西来迭代每个模块，如果字符串与"SbieDll.dll“匹配，则标记。我尝试将所有sandboxie中的所有SbieDll.dll实例重命名为同名文件名(例如1234567.dll)，并使用PE资源管理器删除应用程序中的所有" sandboxie“跟踪，但这似乎破坏了sandb

浏览 0提问于2019-08-18得票数 4

点击加载更多