如何绕过反调试技术——学习回顾(3)

之前总结了一些常见的反调试技术，反调试技术是程序作者用来保护程序不被调试，以此来保护自己的秘密，但是逆行分析人员也有自己的**反调试的方法，就是“反反调试”。
记录学习过程，以待后来温习。
反调试技术的总结：https://blog.****.net/weixin_43742894/article/details/105278690
主要是通过学习《恶意代码分析实战》这本书的课后题，来进行绕过反调试的学习。
资源：第十六章 实验三
链接：https://pan.baidu.com/s/11eObiXjcv2_QdC3BjlHXDw
提取码：pis9

0x00 实验要求

本次做的实验是实验三，实验目标如下：

0x01 实验工具：

IDA Pro
OllyDbg
DNSEye

0x02 实验过程

第一问：静态分析使用了那些字符串

第二问：此二进制文件运行时发生了什么
首先在程序main函数里有一串字符串，然后获得文件名进行了程序名的比较。


我们在OD里定位到00401518的位置，发现比较的字符串是qgr.exe。那我们就将文件名先修改为qgr。

第三问：我们如何重命名，才可以运行
修改为agr后，监控dns，依旧无反应。
最后修改为qeo.exe，运行后，使用dns监控到一个域名。
第四问：这个恶意代码使用那些反调试技术。
有时间比较。也就是时钟反调试。我们在OD里找到这个时钟的地方，使用nop**掉。
计算时间差值。
1.GetTickCount（）。
2.QueryPerformanceCounter（）。

第五问，反调试做了什么
计算时间差值，反调试。如果时间过长，判断文件当前正在被调试，就删除文件。

0x03 总结：

使用了时钟反调试技术rdtsc。