|
|
|
发给工具给大家`
这东西做免杀可能有帮助,另外也能知道瑞星抓取的是哪些特征。 |
|
[原创]厌烦了HeapMagic
一个壳怎么可能随意更改系统设置,这样的壳,还能混? |
|
[下载]IDA作者写的文件DUMP工具。
如果有强人的话应该可以自己作出来这种插件,从作者意思上说,是IDA 5.1 PRO带的函数功能。 Prerequisites The decompiler requires IDA Pro v5.1. It will not run on earlier versions because it uses functions introduced in IDA 5.1. You will need the GUI version of IDA for the interactive operation. For the text mode version only the batch operation is supported. |
|
[结束][第二阶段◇第二题]看雪论坛.珠海金山2007逆向分析挑战赛
这个题很明显是为了商业化测试的,一个是兼容性一个是反破解性,为了备战金山2008系列产品。如果想要做掉全部方法,那么它的产品应该会很“轰动”。 |
|
[下载]dezend免费下载
因为有BUG,所以才免费,完善了再收费。其实做逆向收费,你在国外早判巨额罚款,甚至10年有期,已知道0DAY PHP有好几个组织关闭,原因就在这里,得罪的PHP产商太多了。 |
|
[讨论]一个不能被兵刃 RKU等工具结束进程的小程序。
某人分析: NtSystemDebugControl读写的内存~~ 关键代码如下: .text:00402F6B mov ecx, [ecx+0Ch] .text:00402F6E or ebx, 0FFFFFFFFh .text:00402F71 mov edx, [ecx+eax] .text:00402F74 mov eax, [esi+170h] .text:00402F7A add eax, 248h .text:00402F7F mov [esi+16Ch], edx .text:00402F85 jo loc_40319E .text:00402F85 .text:00402F8B push eax .text:00402F8C mov [ebp-1Ch], ebx .text:00402F8F call ReadSysMem .text:00402F8F .text:00402F94 mov ecx, [esi+16Ch] .text:00402F9A push 10h .text:00402F9C add ecx, 248h .text:00402FA2 mov [esi+180h], eax .text:00402FA8 jo loc_40319E .text:00402FA8 .text:00402FAE push ecx .text:00402FAF call WriteSysMem 即是将Thread->CrossThreadFlags设为0x10h(PS_CROSS_THREAD_FLAGS_SYSTEM) 硬编码XXXX 参考PSPXXXXXTHREAD的代码 NTSTATUS PspTerminateThreadByPointer( IN PETHREAD Thread, IN NTSTATUS ExitStatus, IN BOOLEAN DirectTerminate ) /*++ Routine Description: This function causes the specified thread to terminate. Arguments: ThreadHandle - Supplies a referenced pointer to the thread to terminate. ExitStatus - Supplies the exit status associated with the thread. DirectTerminate - TRUE is its ok to exit without queing an APC, FALSE otherwise --*/ { NTSTATUS Status; PKAPC ExitApc=NULL; ULONG OldMask; PAGED_CODE(); if (Thread->CrossThreadFlags & PS_CROSS_THREAD_FLAGS_BREAK_ON_TERMINATION) { PspCatchCriticalBreak("Terminating critical thread 0x%p (in %s)\n", Thread, THREAD_TO_PROCESS(Thread)->ImageFileName); } if (DirectTerminate && Thread == PsGetCurrentThread()) { ASSERT (KeGetCurrentIrql() < APC_LEVEL); PS_SET_BITS (&Thread->CrossThreadFlags, PS_CROSS_THREAD_FLAGS_TERMINATED); PspExitThread (ExitStatus); // // Never Returns // } else { // // Cross thread deletion of system threads won't work. // if (IS_SYSTEM_THREAD (Thread)) { return STATUS_ACCESS_DENIED; } |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值