论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
逆向
[12305] 2018-01-31_企业壳的反调试及Hook检测分析
文档创建者:
s7ckTeam
浏览次数:
14
最后更新:
2025-01-18
逆向
14 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2018-01-31_企业壳的反调试及Hook检测分析
企
业
壳
的
反
调
试
及
H
o
o
k
检
测
分
析
y
0
n
L
a
n
d
r
o
i
d
F
r
e
e
B
u
f
2
0
1
8
-
0
1
-
3
1
*
本
文
原
创
作
者
:
y
0
n
L
a
n
d
r
o
i
d
,
本
文
属
F
r
e
e
B
u
f
原
创
奖
励
计
划
,
未
经
许
可
禁
止
转
载
1
.
写
在
开
始
写
在
开
始
最
近
在
学
习
梆
梆
壳
,
在
调
试
的
过
程
中
遇
到
了
反
调
试
,
很
是
苦
恼
,
而
且
每
次
调
试
都
会
被
中
断
,
朋
友
发
了
篇
帖
子
【
1
】
介
绍
了
其
中
的
一
个
反
调
,
学
习
后
收
获
颇
多
,
给
我
指
明
了
方
向
,
接
下
来
再
对
其
他
反
调
试
进
行
补
充
,
若
有
疏
漏
之
处
请
各
位
大
佬
批
评
指
正
。
2
.
反
调
试
之
时
间
线
程
检
测
反
调
试
之
时
间
线
程
检
测
启
动
调
试
后
是
对
帖
子
【
1
】
的
验
证
,
过
程
大
致
如
下
:
运
行
b
r
p
t
.
p
y
后
一
路
F
9
,
当
l
r
为
p
B
5
4
E
B
0
C
A
E
4
9
1
9
8
7
5
4
C
6
6
F
4
A
5
7
B
D
B
0
1
D
F
函
数
时
即
为
第
一
个
反
调
试
的
线
程
创
建
处
,
然
后
会
调
用
l
i
b
D
e
x
H
e
l
p
e
r
.
s
o
:
p
D
D
8
A
B
F
7
3
B
0
A
E
9
9
B
D
9
9
8
B
C
5
C
9
5
4
A
7
4
8
5
6
,
再
按
一
次
F
9
即
可
断
到
帖
子
中
提
到
的
f
o
p
e
n
函
数
处
执
行
完
f
o
p
e
n
后
,
回
到
调
用
函
数
l
i
b
D
e
x
H
e
l
p
e
r
.
s
o
:
p
8
8
7
8
C
A
A
1
0
0
6
8
3
5
C
9
D
4
3
1
7
4
C
8
8
1
4
3
B
A
8
B
处
,
然
后
在
如
下
所
示
处
下
断
点
,
F
9
执
行
到
此
处
,
观
察
寄
存
器
的
值
并
做
相
应
的
修
改
,
具
体
思
路
就
是
要
跳
过
l
i
b
D
e
x
H
e
l
p
e
r
.
s
o
:
A
E
D
C
6
2
A
8
B
L
X
s
u
b
_
A
E
D
A
6
E
C
C
这
个
函
数
调
用
即
可
。
执
行
完
成
后
,
会
跳
出
调
用
函
数
,
来
到
下
图
处
将
r
0
寄
存
器
的
值
修
改
为
0
,
或
将
指
令
#
1
改
为
#
0
即
可
。
并
在
p
3
9
D
6
B
1
E
E
D
9
9
D
C
7
E
5
0
6
A
9
D
4
E
0
7
B
D
5
8
D
3
A
处
下
断
,
执
行
完
之
后
F
9
,
则
会
跳
到
p
3
9
D
6
B
1
E
E
D
9
9
D
C
7
E
5
0
6
A
9
D
4
E
0
7
B
D
5
8
D
3
A
处
,
该
函
数
功
能
类
似
k
i
l
l
,
具
体
过
程
参
考
帖
子
【
1
】
。
接
下
来
通
过
静
态
分
析
知
道
了
时
间
线
程
的
创
建
点
,
如
下
所
示
:
具
体
的
时
间
检
测
函
数
如
下
:
其
中
主
要
就
是
调
用
了
g
e
t
t
i
m
e
o
f
d
a
y
函
数
,
获
取
时
间
,
然
后
再
做
如
下
比
较
:
不
满
足
条
件
则
k
i
l
l
掉
,
以
上
便
是
时
间
检
测
的
功
能
了
。
3
.
反
调
试
之
反
调
试
之
p
t
r
a
c
e
检
测
检
测
接
下
来
是
p
t
r
a
c
e
检
测
函
数
,
通
过
静
态
分
析
p
t
r
a
c
e
被
调
用
了
3
次
,
首
先
进
行
P
T
R
A
C
E
_
A
T
T
A
C
H
,
第
二
次
调
用
后
和
0
进
行
比
较
,
最
后
进
行
P
T
R
A
C
E
_
D
E
T
A
C
H
,
如
下
所
示
:
另
一
处
c
a
s
e
1
3
会
调
用
p
F
7
7
E
A
3
2
7
6
6
D
8
4
1
E
D
6
B
D
1
0
1
3
0
E
1
8
1
C
B
0
D
(
)
也
是
p
t
r
a
c
e
检
测
,
在
p
9
3
9
2
6
4
0
B
2
E
3
8
B
7
2
3
7
3
2
1
3
C
9
4
5
7
0
4
C
A
0
8
处
也
调
用
了
p
t
r
a
c
e
检
测
,
具
体
函
数
如
下
所
示
:
其
中
p
1
E
B
F
B
5
8
D
6
6
C
9
9
C
A
D
7
4
0
5
9
0
4
C
9
B
9
3
5
5
9
D
(
)
-
>
p
3
9
D
6
B
1
E
E
D
9
9
D
C
7
E
5
0
6
A
9
D
4
E
0
7
B
D
5
8
D
3
A
。
4
.
函
数
大
致
流
程
函
数
大
致
流
程
经
过
上
述
分
析
,
整
理
大
致
调
用
流
程
如
下
(
随
手
画
的
)
:
5
.
H
o
o
k
检
测
之
检
测
之
X
p
o
s
e
d
检
测
检
测
对
于
X
p
o
s
e
d
检
测
主
要
是
对
相
关
字
符
串
做
了
比
对
,
如
下
图
所
示
:
在
做
完
比
对
后
返
回
0
和
1
进
行
比
较
,
最
后
又
会
调
用
那
个
自
己
写
的
p
3
9
D
6
8
1
E
E
D
9
9
D
C
7
E
5
0
6
A
9
D
4
E
0
7
B
D
5
8
D
3
A
函
数
,
前
面
提
到
,
该
函
数
功
能
类
似
k
i
l
l
,
此
处
做
了
重
命
名
为
p
3
_
l
i
n
u
x
_
s
y
s
c
a
l
_
k
i
l
l
。
6
.
H
o
o
k
检
测
之
检
测
之
s
u
b
s
t
r
a
c
e
检
测
检
测
通
过
静
态
分
析
可
知
,
p
A
F
D
3
E
6
E
7
9
D
2
F
8
8
D
9
F
3
5
6
3
A
E
5
7
0
8
6
6
D
5
1
函
数
在
c
a
s
e
2
中
调
用
了
p
B
4
D
A
C
E
C
3
2
7
9
2
5
2
0
8
2
E
C
E
D
1
4
7
1
A
6
6
4
B
F
7
函
数
,
此
函
数
则
为
s
u
b
s
t
r
a
c
e
的
检
测
点
,
具
体
函
数
如
下
所
示
:
当
然
也
是
比
较
的
字
符
串
,
根
据
以
上
信
息
可
以
在
手
机
中
安
装
对
应
的
框
架
进
行
动
态
验
证
,
由
于
我
的
环
境
没
有
安
装
该
h
o
o
k
框
架
,
故
暂
未
进
行
动
态
验
证
。
7
.
小
结
小
结
根
据
以
上
分
析
,
过
掉
以
上
反
调
试
就
很
容
易
了
,
具
体
操
作
不
难
,
不
再
赘
述
,
方
法
可
以
参
考
帖
子
【
2
】
。
我
采
用
i
d
a
p
y
t
h
o
n
脚
本
绕
过
,
终
于
可
以
开
心
的
调
试
了
,
以
上
当
然
不
是
所
有
的
反
调
,
具
体
还
有
其
他
细
节
的
处
理
遇
到
了
再
根
据
具
体
情
况
加
以
分
析
,
其
中
还
有
i
n
o
t
i
f
y
没
有
分
析
,
具
体
可
以
参
考
另
一
篇
帖
子
【
3
】
。
当
然
,
对
于
梆
梆
壳
这
只
是
迈
出
的
第
一
步
,
还
有
很
多
内
容
等
待
我
们
去
挖
掘
!
参
考
文
献
请
【
阅
读
原
文
】
*
本
文
原
创
作
者
:
y
0
n
L
a
n
d
r
o
i
d
,
本
文
属
F
r
e
e
B
u
f
原
创
奖
励
计
划
,
未
经
许
可
禁
止
转
载
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
!disable!!post_parseurl!
使用Markdown编辑器编辑
使用富文本编辑器编辑
回帖后跳转到最后一页
发表
逆向