聊一聊对一个 C# 商业程序的反反调试( 二 ) _生活百科

【聊一聊对一个 C# 商业程序的反反调试】

文章插图
可以看到 WinDbg 已成功修改了 KERNELBASE!IsDebuggerPresent 方法的代码，哈哈，接下来继续 go，截图如下：

文章插图
可以看到已成功的反反调试，看到程序很开心，我也挺开心的。

使用bp断点拦截

这种做法就是使用 bp + script 拦截，大概就是在 KERNELBASE!IsDebuggerPresent的ret 处用脚本自动修改 eax 值，这也是可以的，当然也是最安全的。
首先观察一下 uf KERNELBASE!IsDebuggerPresent 函数的汇编代码。

0:004> uf KERNELBASE!IsDebuggerPresentKERNELBASE!IsDebuggerPresent:00007ffb`0fe468a0 65488b042560000000 movrax,qword ptr gs:[60h]00007ffb`0fe468a9 0fb64002movzxeax,byte ptr [rax+2]00007ffb`0fe468ad c3ret

接下来在 00007ffb0fe468ad 处下一个断点，即位置 KERNELBASE!IsDebuggerPresent + 0xd ，然后使用寄存器修改命令 r 修改 eax 的值，再让程序 gc 即可，脚本代码如下：
0:004> bp KERNELBASE!IsDebuggerPresent+0xd "r eax =0; gc"0:004> g