Ta的论坛

softworm

拉黑关注私信

头图
皮肤套装

使用

主题(63) | 回帖(1051) | 精华(30)

softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-5-17 09:04 0 《Windows编程循序渐进》已经上市，敬请关注（附样章）从防震棚出来支持一下
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-5-9 12:34 0 [讨论]Rustock.C 感染Ntdlr的Boot RootKit 多态壳质疑一下,这个文件是dump出来的吗? 没有输入表,直接用OD跟了几步, 很快就有异常,似乎在MZ头应该有些地址数据,现在为0。在虚拟机下用KmdManager加载就挂了。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-4-5 19:48 0 [原创]Code Virtualizer的一点分析和还原我想试试用程序实现变形代码清理,得到大致干净的VM解释引擎,再根据handler的特征及PCODE与机器码的对应关系,做个半自动的工具来还原代码。PCODE到机器码的转换我以前都是直接读的,完全没有实战价值。不过我对直接得到正确的机器码几乎不抱信心,不出错的可能性太小了,能以助记符的形式做出来就不错。感觉难度太大,花了不少时间代码清理还没过,放下有1个月了。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-4-5 10:21 0 [原创]Code Virtualizer的一点分析和还原楼上几位的批评是不对的,我的确没看过CV加出来的东西。不过看Ryosuke的文章,有点象Tmd\|WL选CISC类型时的VM。IDB里变形代码相对较少,也没有假的jcc分枝,也许Ryosuke 保护的时候选的强度不高? 顺便问一句,Ryosuke怎么搞的变形代码? 我本想再玩一下,不过最近工作比较忙,要放一放了。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-4-3 19:11 0 [原创]Code Virtualizer的一点分析和还原学习,没看过CV
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-3-20 18:04 0 [新闻]腾讯网络安全技术峰会有没有MJ0011?
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-3-16 09:31 0 [我又走了]The Headless Horsemen Engine v1.03 把成品放出来瞧瞧
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-3-7 21:06 0 [原创]玩玩IDA Graph View 谢谢楼上大牛指点,我确实是用VC写的,没用过BCB,改天试试换个编译器。自己写layout对我来说太复杂了，原理都不清楚不要说写代码了。好象ProcessStalker有layout源码。具体到我的应用，如果能把变形代码处理好，node数应该超不出100，也许可避免这个问题。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-3-4 12:21 0 [原创]Themida.v1.9.5.0.XXX-CUG 我也加一下.不大习惯用声望系统。s牛牢骚不小呵呵
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-3-4 12:17 0 [强贴]Defeat TMD/WL File Patching shoooo有啥好玩艺全亮来
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-3-1 20:08 0 PEDIY开始变质了楼主的意思大概是指论坛关注的技术方向有所转变。我个人的看法，pediy毕竟是以crack方向起家的，在拓宽技术面的同时，应尽量保持本色。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-3-1 20:02 0 我也来理解虚拟机 ① VM的context与Win32的CONTEXT结构没有关系,但意思相似 ② VM指令集是作者自己定义的, pcode==pseduo code==伪码==VM的机器码 ③ 程序(VM解释引擎)在跑原x86指令转换的对应pcode,什么都做了没有看明白楼主打算怎样还原x86指令?
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-2-28 22:01 0 [求助]SSDT Hook卸载驱动时蓝屏的问题有时候是要bsod,把那段代码找出来了, 在DriverUnload尾巴上加: /* * bit lame delay - but to prevent BSOD on active hooked system services * could improve here with remove locks, but you will never get a 100% * correct situation */ Delay.QuadPart = -5000000; KeDelayExecutionThread(KernelMode, TRUE, &Delay);
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-2-28 21:27 0 [求助]SSDT Hook卸载驱动时蓝屏的问题记得在rootkit.com一份代码看到的: 没有什么可靠的办法,在卸载前等了一段时间
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-2-26 12:19 0 [注意]看雪论坛鼎力打造---2008年力作《加密与解密》（第三版）[2008年6月上旬上市] 我也想要个签名本
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 2008-2-21 19:28 0 [求助]od中，如何确定跳转来自何处？有个ring3的插件Conditional Branch Logger,我更喜欢ring0的DebugCtlMSR,openrce上有讨论. Hook int1: __declspec(naked) void NewInt01() { // - Interrupt 1 Handler - // // offset \| contains // ---------+----------------------------- // esp : EIP Context // esp + 4 : CS Context // esp + 8 : EFLAGS Context __asm { pushad mov eax, dr6 bt eax, 0Eh //单步? jnc __oldint01 mov ecx, 1D9h rdmsr or eax, 3 wrmsr __oldint01: popad jmp OldHandler01 } } 在OD中trace时记录的只有控制转移指令

精华数

RANk

494

雪币

629

活跃值

关注数

粉丝数

0

课程经验

0

学习收益

0

学习时长

基本信息

能力排名： No.408

等级： LV9

活跃值

活跃值：

活跃值

在线值：

浏览人数：504

最近活跃：2024-2-22 10:06

注册时间：2004-04-24

勋章

能力值