最近因工作需要,對pf_ring進行反調試。官方下載的pf_ring轉發數據包的過程中,對程序做了五分鍾的限制。那么如何突破此限制。此篇博客記錄一下過程,已備后用。
下載源碼后進行編譯,此處我們利用源碼還是可以做一些推斷的,此處看到zbounce.c中,可以看到main函數等。從main函數中看到檢測時間的函數應該是pfring_zc_create_cluster()函數中,在此文件中卻並沒有這個函數的定義。我們猜測在靜態鏈接庫中有定義。轉到Makefile文件,從Makefile中可以看到/lib/libpfring.a的靜態鏈接庫。那么基本上就在libpfring.a這個庫中,但是這么大的庫中找這個函數的可能性可想而知。靜態分析,我們直接拖到ida中
================未完待續
如有需要,可聯系qq:646878467(lcamry).ps:添加的時候請注明--pfring
現已完美破解zc模式,DNA模式。
已破解版本5.6 6.0