如何找到反汇编软件进程的“特征”？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼现在的anti-antiDbg那么强悍，即使LZ实现了所谓的特征锁定，这种方法好像也强不到哪儿去 2009-11-16 17:26 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼难道要想更好的保护软件只有靠壳来保护了么？壳好像好难暂时研究不了啊嗯，你说的好像很有道理，只有自己研究出猛壳+一些猛的算法才是安全的。。。 2009-11-16 17:36 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 4 楼看一下OD的Hide OD插件的选项就可以明白一些检测调试器的方法了异常和内存修改检测用的比较多，就是为什么一些强壳都不能下软断点的原因 2009-11-16 18:28 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 5 楼没有绝对的安全，只有相对的安全。壳经历了这么多年的发展，特别是目前一些强壳，在软件保护上可以说是独具特色，真正能搞动的都是牛人，我觉得起码相对于你的“特征比对”要安全稳定的多。特征比对还存在失误的问题，不跟杀软的特征码一个道理么？ 2009-11-17 08:15 0
zzhacker 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	zzhacker 6 楼恩我觉的可以啊好多的壳都有侦测反编译软件的能力所以才会出现 hide ollyice 这个插件 O(∩_∩)O~ 不过能防一些菜鸟这是我滴鄙见 2009-11-17 10:41 0
topcookie 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	topcookie 7 楼防我们这些菜鸟有什么用，菜鸟搞不了，能搞的大牛你也防不住，VMP都被牛人搞了，你算法还能猛到什么程度，笑话 2009-11-17 17:04 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 8 楼前段时间碰到个壳,就如楼主所说的遍历进程, 然后Read指定的两个地址来判断是不是od1.1的, 直接把OpenProcess给Hook了,就过了 2009-11-17 17:18 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 9 楼这伙计的态度有点问题哦~ 什么东西不得一步一步的来？你一口能吃个胖子吗不得先防菜鸟然后防大牛吗 2009-11-19 12:01 0
人很老实雪币： 362 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 83 粉丝 1 关注私信	人很老实 2 10 楼首先, 如果你ring 3枚举进程, 根本过不了OD的驱动插件, 即使你有特征也扫不到OD进程, 其次,假设你可以扫到OD, 用一般的取特征方法还要考虑OD是否加壳的问题,就像杀软特征识别还要搞虚拟机脱壳引擎一样.其成本太高,建议还是用Anti-Debug吧. 2009-11-19 17:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 2 楼现在的anti-antiDbg那么强悍，即使LZ实现了所谓的特征锁定，这种方法好像也强不到哪儿去 2009-11-16 17:26 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼难道要想更好的保护软件只有靠壳来保护了么？壳好像好难暂时研究不了啊嗯，你说的好像很有道理，只有自己研究出猛壳+一些猛的算法才是安全的。。。 2009-11-16 17:36 0
xiaobaozi 雪币： 76 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 114 粉丝 0 关注私信	xiaobaozi 1 4 楼看一下OD的Hide OD插件的选项就可以明白一些检测调试器的方法了异常和内存修改检测用的比较多，就是为什么一些强壳都不能下软断点的原因 2009-11-16 18:28 0
风随雨行雪币： 2513 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 604 粉丝 1 关注私信	风随雨行 1 5 楼没有绝对的安全，只有相对的安全。壳经历了这么多年的发展，特别是目前一些强壳，在软件保护上可以说是独具特色，真正能搞动的都是牛人，我觉得起码相对于你的“特征比对”要安全稳定的多。特征比对还存在失误的问题，不跟杀软的特征码一个道理么？ 2009-11-17 08:15 0
zzhacker 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	zzhacker 6 楼恩我觉的可以啊好多的壳都有侦测反编译软件的能力所以才会出现 hide ollyice 这个插件 O(∩_∩)O~ 不过能防一些菜鸟这是我滴鄙见 2009-11-17 10:41 0
topcookie 雪币： 161 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 50 粉丝 0 关注私信	topcookie 7 楼防我们这些菜鸟有什么用，菜鸟搞不了，能搞的大牛你也防不住，VMP都被牛人搞了，你算法还能猛到什么程度，笑话 2009-11-17 17:04 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 8 楼前段时间碰到个壳,就如楼主所说的遍历进程, 然后Read指定的两个地址来判断是不是od1.1的, 直接把OpenProcess给Hook了,就过了 2009-11-17 17:18 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 9 楼这伙计的态度有点问题哦~ 什么东西不得一步一步的来？你一口能吃个胖子吗不得先防菜鸟然后防大牛吗 2009-11-19 12:01 0
人很老实雪币： 362 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 83 粉丝 1 关注私信	人很老实 2 10 楼首先, 如果你ring 3枚举进程, 根本过不了OD的驱动插件, 即使你有特征也扫不到OD进程, 其次,假设你可以扫到OD, 用一般的取特征方法还要考虑OD是否加壳的问题,就像杀软特征识别还要搞虚拟机脱壳引擎一样.其成本太高,建议还是用Anti-Debug吧. 2009-11-19 17:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复