Ta的论坛

可以看到类函数也在模块内  所以...........
唔  这样判断起来貌似有点麻烦？效率也低  而且旧模块丢给CRC就好了么
至于挂起线程么  大概是为了安全性吧  比如有个线程正好在对全局变量操作或调用函数正好你复制了那么线程需要的全局变量是新的  但你复制的是旧的....或者堆栈就不平衡了  大概是这样子吧
堆栈返回地址刚开始是很多异常  等所有线程轮过一遍后就没多少了吧

alazif

雪币： 74

活跃值： (500)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

73

粉丝

0

关注

私信

alazif 2014-5-28 16:49: 0

[讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ

这个咱没能力解决按照原帖V大的说法虚表指针编译好后都存在在.data段只要遍历这个data段然后再处理就好了

而且虚函数也是在模块内的吧.......只要eip指向就会抛出异常新模块是按旧模块在运行时拷贝的所以虚表不需要处理？

alazif

雪币： 74

活跃值： (500)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

73

粉丝

0

关注

私信

alazif 2014-5-28 16:29: 0

[讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ

可惜咱技术有限无法发扬光大了..........

alazif

雪币： 74

活跃值： (500)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

73

粉丝

0

关注

私信

alazif 2014-5-28 16:20: 0

[讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ

所以我是设置成PAGE_READWRITE 这里只是重载嘛用来对抗crc 想要怎么hook就按老的 hook地址再加上新模块和老模块之间的偏移做就就好了嘛这个原来的思路是对某war3平台的咱想拿来做别的......就是删掉的那些私货= =b
dxf的话好像有堆栈检测重载后直接崩了......

alazif

雪币： 74

活跃值： (500)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

73

粉丝

0

关注

私信

alazif 2014-5-28 16:12: 0

[讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ

这个倒给了我一个关于hook的想法.......唔重载的话那个不需要单步只是捕获在旧模块里的eip然后转到新内存上所以只要旧模块无法执行就可以了.....话说dxf啊昨天天杀的在win7 64上用object hook了而且不重启电脑无法恢复......

alazif

雪币： 74

活跃值： (500)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

73

粉丝

0

关注

私信

alazif 2014-5-28 15:52: 0

[讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ
唔设置了PAGE_READWRITE啊不能执行所以一执行就会跳到异常分发了我用od跟过 eip确实是到了新的内存里了如果设PAGE_NOACCESS的话不就变成 CRC扫到也会触发异常？也许咱理解错了
设置VEH是刚开始写的时候搞的后来发现有些进程没有进VEH就挂了所以改为hook kiuser 但VEH这就懒得去掉了以后用到的时候也能看看= =b 用NT系列么......DXF的话我用pc hunter看了下 RING3下并没有hook nt系列函数的样子.....大部分都是iat hook kernel32里的

alazif

雪币： 74

活跃值： (500)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

73

粉丝

0

关注

私信

alazif 2014-5-28 15:46: 0

[求助]一个可疑的自启DLL，求分析。
625K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7#2)9J5k6h3y4K6k6r3&6Q4x3X3g2F1k6i4c8Q4x3V1k6@1L8%4m8A6j5%4y4Q4x3V1j5@1x3o6l9I4y4e0l9%4x3#2)9J5y4X3&6T1M7%4m8Q4x3@1t1`. 关于这个的.....

楼上你ID这么叼冰箱里的腊肉知道么？

alazif

雪币： 74

活跃值： (500)

能力值：

( LV2，RANK：10 )

在线值：

发帖

9

回帖

73

粉丝

0

关注

私信

alazif 2014-5-28 14:48: 0

[求助]关于最新过TP驱动保护
求教现在TP的0x99999999是检测哪里的说肯赐教的话求私信

alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-6-3 18:08 0 求教VMP加壳相关 ~~~怎么样设置才能只对部分代码做VM而不加壳好像可以了吧dllbox那个启动时载入的钩去掉就好了 = =b
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-6-3 15:34 0 求教VMP加壳相关 ~~~怎么样设置才能只对部分代码做VM而不加壳恩对啊好像用了dll box就会出错但我又想隐藏dll= =b
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-31 14:57 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 如果其他模块调用的话 esp不在当前模块里的吧话说咱本来是想做别的东西的←_←
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-30 21:19 0 马云当年创造了淘宝，下一个淘宝一样的创意，一个是拉近全球化的软件，一个是管理人类的工具。 ←_←应该做个西比拉系统堆个百脑汇
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-30 21:03 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ ←_←现在电脑动辄4核起步就算是G1620之流性能也不差而且就如原帖所说只要第一次EIP中标以后的栈返回地址都在新内存里了所以性能方面应该大丈夫萌大奶
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 17:48 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 有空了试试....话说巨硬果然是和硬盘厂家串通好了的
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 17:45 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 消息循环的话第一次eip中标进入新内存然后调用下一层函数的时候返回地址就是镜像里的地址了只要整个循环都异常一遍应该就正常了
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 17:33 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 不过入口点的话对那些奇葩的壳就不行了吧话说看雪好冷清啊....
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 17:21 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 可以看到类函数也在模块内所以........... 唔这样判断起来貌似有点麻烦？效率也低而且旧模块丢给CRC就好了么至于挂起线程么大概是为了安全性吧比如有个线程正好在对全局变量操作或调用函数正好你复制了那么线程需要的全局变量是新的但你复制的是旧的....或者堆栈就不平衡了大概是这样子吧堆栈返回地址刚开始是很多异常等所有线程轮过一遍后就没多少了吧
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 16:49 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 这个咱没能力解决按照原帖V大的说法虚表指针编译好后都存在在.data段只要遍历这个data段然后再处理就好了而且虚函数也是在模块内的吧.......只要eip指向就会抛出异常新模块是按旧模块在运行时拷贝的所以虚表不需要处理？
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 16:29 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 可惜咱技术有限无法发扬光大了..........
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 16:20 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 所以我是设置成PAGE_READWRITE 这里只是重载嘛用来对抗crc 想要怎么hook就按老的 hook地址再加上新模块和老模块之间的偏移做就就好了嘛这个原来的思路是对某war3平台的咱想拿来做别的......就是删掉的那些私货= =b dxf的话好像有堆栈检测重载后直接崩了......
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 16:12 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 这个倒给了我一个关于hook的想法.......唔重载的话那个不需要单步只是捕获在旧模块里的eip然后转到新内存上所以只要旧模块无法执行就可以了.....话说dxf啊昨天天杀的在win7 64上用object hook了而且不重启电脑无法恢复......
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 15:52 0 [讨论][重载大法好]发个这2天搞的小玩意的说就是那个重载dll 顺带求教各位大神怎么学习逆向QAQ 唔设置了PAGE_READWRITE啊不能执行所以一执行就会跳到异常分发了我用od跟过 eip确实是到了新的内存里了如果设PAGE_NOACCESS的话不就变成 CRC扫到也会触发异常？也许咱理解错了设置VEH是刚开始写的时候搞的后来发现有些进程没有进VEH就挂了所以改为hook kiuser 但VEH这就懒得去掉了以后用到的时候也能看看= =b 用NT系列么......DXF的话我用pc hunter看了下 RING3下并没有hook nt系列函数的样子.....大部分都是iat hook kernel32里的
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 15:46 0 [求助]一个可疑的自启DLL，求分析。 625K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0T1M7#2)9J5k6h3y4K6k6r3&6Q4x3X3g2F1k6i4c8Q4x3V1k6@1L8%4m8A6j5%4y4Q4x3V1j5@1x3o6l9I4y4e0l9%4x3#2)9J5y4X3&6T1M7%4m8Q4x3@1t1`. 关于这个的..... 楼上你ID这么叼冰箱里的腊肉知道么？
alazif 雪币： 74 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 2014-5-28 14:48 0 [求助]关于最新过TP驱动保护求教现在TP的0x99999999是检测哪里的说肯赐教的话求私信

{{ user_info.username }}