最近因工作需要,对pf_ring进行反调试。官方下载的pf_ring转发数据包的过程中,对程序做了五分钟的限制。那么如何突破此限制。此篇博客记录一下过程,已备后用。
下载源码后进行编译,此处我们利用源码还是可以做一些推断的,此处看到zbounce.c中,可以看到main函数等。从main函数中看到检测时间的函数应该是pfring_zc_create_cluster()函数中,在此文件中却并没有这个函数的定义。我们猜测在静态链接库中有定义。转到Makefile文件,从Makefile中可以看到/lib/libpfring.a的静态链接库。那么基本上就在libpfring.a这个库中,但是这么大的库中找这个函数的可能性可想而知。静态分析,我们直接拖到ida中
================未完待续
如有需要,可联系qq:646878467(lcamry).ps:添加的时候请注明--pfring
现已完美破解zc模式,DNA模式。
已破解版本5.6 6.0