|
|
|
[求助]没有邀请码,只好到这来提问,关于将系统模块复制到用户地址空间然后调用的问题
最近在分析一款软件时 发现 他加载了几个系统DLL到内存后 就不在调用这些DLL的API,所以想问一下免得自己搞错了方向。 他加载DLL的过程大概如下:CreateFileA ReadFile 读取数据到内存 然后VirtualMalloc一个内存块,之后就没有调用相关的API。紧接着就出现了一大堆NTDLL中的API调用,而且调用代码全在 用户地址空间 小于0x70000的地址空间。 所以想知道他是怎么做到的。 |
|
[原创]菜鸟也谈虚拟机开发,希望给个邀请码^^
我解释一下吧 可能是我的思路太乱了 DLL注入,也就是修改磁盘上PE的目的是为了在PE启动之初就拿到代码的控制权。虚拟机启动后,将PE被修改的部分在内存中修复,防止被调试的程序有内存自校验。 VMDispatcher的作用是解析每条指令并跟踪他们执行,这里跟踪执行的是纯X86指令,被调试目标的每个指令在被执行之前都需要经过VMDispatcher,这样就达到了跟踪和调试的目的。 不管是反调试 还是加壳保护 基本上都是无效的,至少反调试是无效的,因为这个调试工具根本就没有启动调试器。 |
|
[原创]菜鸟也谈虚拟机开发,希望给个邀请码^^
这么说吧 我的目标是开发一个不启动调试器的调试工具,让反调试的技术失效,因为看雪的牛人实在太多,不敢说出来。 |
|
[原创]菜鸟也谈虚拟机开发,希望给个邀请码^^
不好意思 忘了说了 我这个虚拟机不是用来防破解的 是用来破解的^^ |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值