我目前正在尝试将调试器附加到带有 IsDebuggerPresent 回调的程序。通常,我会修补程序以通过此检查,但修补程序不是一种选择。我将如何连接调试器以便进行动态分析?
绕过 IsDebuggerPresent
逆向工程
调试
2021-07-06 19:57:03
1个回答
据我了解您的问题,如果您的二进制文件没有打包程序/保护程序,并且您无法使用任何方式来挂钩原始源代码,请尝试使用像 TitanHide 这样的内核钩子,并观察行为,如果现在没有任何东西如此复杂,检查调试器的侧面寻找标志并找到“零标志”,然后更改返回值,这很简单,但是如果您指定得更好,我可以给您另一个答案,祝您好运。