OD里下斷點(diǎn)實(shí)際上是將代碼改成int 3，又叫“CC中斷”。基于這個(gè)原理，我們可以在程序中創(chuàng)建一個(gè)線程，實(shí)時(shí)檢測(cè)代碼區(qū)是否被修改，從而實(shí)現(xiàn)反OD下斷點(diǎn)。

下面是代碼演示：

// 校驗(yàn)和反調(diào)試.cpp : 此文件包含 "main" 函數(shù)。程序執(zhí)行將在此處開(kāi)始并結(jié)束。 // 為了方便測(cè)試，請(qǐng)?jiān)阪溄悠鬟x項(xiàng)中關(guān)閉隨機(jī)基址ASLR#include <windows.h> #include <stdio.h>DWORD g_dwCheckSum = 0; // 校驗(yàn)和DWORD WINAPI CheckThread(LPVOID lpvoid) {printf("校驗(yàn)線程開(kāi)始\n");while (1){// 計(jì)算校驗(yàn)和DWORD dwBaseOfCode = 0x00411000; // 代碼起始地址DWORD dwSizeOfCode = 0x6000; // 代碼長(zhǎng)度DWORD dwCheckSum = 0;for (DWORD i = dwBaseOfCode; i < dwBaseOfCode + dwSizeOfCode; i++){dwCheckSum += *((PBYTE)i);}if (dwCheckSum != g_dwCheckSum){printf("檢測(cè)到CC斷點(diǎn)，程序結(jié)束\n");ExitProcess(1);}}printf("校驗(yàn)線程結(jié)束\n");return 0; }int main() {DWORD dwBaseOfCode = 0x00411000; // 代碼起始地址DWORD dwSizeOfCode = 0x6000; // 代碼長(zhǎng)度printf("%08x\n%08x\n", dwBaseOfCode, dwBaseOfCode+dwSizeOfCode);for (DWORD i = dwBaseOfCode; i < dwBaseOfCode + dwSizeOfCode; i++){g_dwCheckSum += *((PBYTE)i);}// 啟動(dòng)代碼檢測(cè)線程CreateThread(0, 0, CheckThread, 0, 0, 0);int cnt = 0;while (1){printf("程序正在執(zhí)行...%d\n",++cnt);Sleep(1000);}return 0; }

拿到OD里跑起，不下斷點(diǎn)，結(jié)果如下：

隨便下一個(gè)F2斷點(diǎn)，檢測(cè)線程就會(huì)結(jié)束進(jìn)程。

總結(jié)

以上是生活随笔為你收集整理的检测代码区校验和实现简易反调试的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。