-
CheckRemoteDebuggerPresent 우회Hack/Reversing 2015. 1. 12. 03:24
CheckRemoteDebuggerPresent() 함수가 호출되면 그냥 강제로 false를 반환해 디버깅을 종료시킨다.
엔트리포인트를 수정해주면 우회가 쉽게 됩니다.
예를들어
mov edi,edi라는 코드가존재하면 해당 코드를 0으로 만들어버리면되는데, 0으로 만드는법은간단하게 xor 의 연산법칙으로 같은것을 연산하면 0을 반환하니,
xor eax,eax를 해주면 0이 성립됩니다.
그럼 0으로 리턴하여, CheckRemoteDebuggerPresent()함수가 동작하지않게됩니다.
'Hack > Reversing' 카테고리의 다른 글
DebugActiveProcess() (0) 2015.01.13 OpenProcess() (0) 2015.01.13 CreateProcessA() (0) 2015.01.12 INT3, INT1 (0) 2015.01.12 Remote Debugging 감지 (0) 2015.01.12