IsDebuggerPresent를 우회하려면 어떻게해야합니까?

Question

이 실행에서 ZipCryto 암호를 찾으려고하는데, ollydbg에서 열 때 IsDebuggerPresent 모듈로 인해 항상 닫는 프로그램으로 돌아갑니다.

나는 인터넷에서 해결책을 찾아 시도 -에서 IsDebuggerPreset 모듈 에 NOP하려고 - -이 없습니다

에서 IsDebuggerPreset 모듈에서 반환 0을 강제로 시도 플러그인 (숨기기 디버거 및 IsDebugPresent) 올리 디버그 사용 일.

은 내가 ZipCrypto 암호 처리 위치를 찾을 signsrch를 사용하고는 [32.le.12 &]

과 장소가

0041c57c 3052 ZipCrypto 암호를 처리하는 기능을 말한다 에서 IsDebuggerPreset

00435cd8 2545 안티 디버깅 :에서 IsDebuggerPreset [..17]

이 실행시 IsDebuggerPresent를 무시하고 ZipCryto 암호를 찾을 수 있습니까? 링크 실행 : https://mega.co.nz/#!PMdAjZab!bTO7VbZ6OjhJ_mgiigJ1BApDAgDeVWK_X-mKl9aMZw8

나쁜 영어로 죄송합니다. 감사합니다.

Answer 1

파일을 디 렘임러로 열고 IsDebuggerPresent으로 전화를 걸면 최종적으로 응용 프로그램을 닫습니다 (또는 오류나 그 밖의 오류를 보여줍니다).이 코드는 NOP로 검사를 비활성화 할 수 있습니다 .

IDA과 같은 해독기로 ASM 코드를 읽을 수 있지만 편집을 지원하지는 않지만 을 사용하여 코드를 바이트 편집 (NOPS로 패치하려는 영역 만 채우기) 할 수 있습니다.

Answer 2

/GS - cl 명령 줄에서이 종속성을 제거합니다.

Answer 3

은 EXE 파일 이름이 a1.exe

이렇게 가정하자 :

• 눌러 Alt+E을 Executable modules 창을 이동합니다.
• 는
• Ctrl+N가 importes에서 IsDebuggerPresent를 찾아 선택 a1.exe
• 를 눌러 선택합니다.
• 오른쪽 클릭 및 클릭 Follow import in Disassembler
• 이 opcode의 프레스 F2.
• 프로그램을 실행하고 중단 점을 기다립니다.
• 코드로 돌아갈 때까지 F8을 누르십시오.
• je 또는 jnz opcode와 같은 것을 검색하여 변경하십시오.