BlockInput를 이용한 안티 디버깅
BlockInput 함수를 키보드와 마우스에 대한 이벤트가 Block 된다(키보드와 마우스가 먹통)이 된다. 리버싱 중에 해당 함수가 호출될 경우 키보드와 마우스의 먹통으로 분석을 더 진행하기 어렵게 할 수 있지만, 예외로 Ctrl+Alt+Del로 빠져나올 수 있다.
MSDN
TRUE를 전달할 경우 Block, FALSE인 경우 Block 해제
소스 코드
안티 디버깅 우회 방법
1. BlockInput 함수가 호출될 때 FALSE를 전달하게 수정
2. 디버거의 안티디버깅 플러그인 이용(ex : OllyDbg의 OllyAdvanced Plug-In을 이용)
Reference
MSDN : https://msdn.microsoft.com/en-us/library/windows/desktop/ms646290(v=vs.85).aspx
'Reversing > Anti Debugging' 카테고리의 다른 글
[TIME 기반] RDTSC (0) | 2015.03.26 |
---|---|
[API 기반] SelfDebugging + DebugActiveProcess (0) | 2015.03.25 |
[API 기반] Parent Process (0) | 2015.03.25 |
[API 기반] ZwQueryInformationProcess, NtQueryInformationProcess (3) ProcessDebugFlags (0) | 2015.03.25 |
[API 기반] ZwQueryInformationProcess, NtQueryInformationProcess (2) ProcessDebugObjectHandle (0) | 2015.03.25 |