[求助]一个有anti的crackme,求高手~-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
kingstell 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	kingstell 2 楼 anti 不到我额 2010-3-1 13:38 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼 hi，爆破王子~ 你的OD咋这么厉害。。 2010-3-1 17:05 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 4 楼 TForm1.FormCreate 1.IsDebuggerPresent 2."Ollydbg - [CPU]"窗口查找 3."Ollydbg"窗口查找 4.手工一份IsDebuggerPresent TForm1.FormShow 1.CheckRemoteDebuggerPresent 2.EnumWindow检查窗口类名是不是ACPUASM,ACPUSTACK,ACPUDUMP,ACPUSTACK TForm1.FormActivate 1.历遍进程，检查进程有没有这些模块cmdbar.dll,cmdline.dll,IsDebug.dll,HideDebugger.dll,OllyDump.dll,OllyScript.dll.hidedbg.dll 如果找到则向进程0x4314f3处写入00 E6 47 00 04 16 00，共7个字节，那边是OD调用ContinueDebugEvent的地方。至于rdtsc间隔检查就不写了，到处都是。虽然没啥影响... 还有楼主的那个疑问，那个挑转是在PEB结构中的TLB结构指针为0的情况下才成立的，不过一般脑子没什么事情的程序都不会去清零那东西…… 2010-3-1 18:20 0
Hacksign 雪币： 2332 活跃值： (3804) 能力值： ( LV9，RANK：140 ) 在线值：发帖 34 回帖 113 粉丝 34 关注私信	Hacksign 2 5 楼呵呵,谢谢楼上....漏掉了formshow时间里面的检测. 那为什么是BFFC9CE4这个地址? 用od调试的话,rdtsc指令就有作用了...这个crackme叫anti ollydbg:) 2010-3-1 20:15 0
worms 雪币： 89 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	worms 6 楼飘过。。。。ing 2010-3-3 09:12 0
ttthhh 雪币： 56 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 184 粉丝 0 关注私信	ttthhh 7 楼想知道更详细一点的 2010-3-3 21:20 0
feiyucq 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	feiyucq 8 楼这个CM在我电脑上已出现直接就被诺顿干掉了，哈哈，看来只能在虚拟机里调了。。另外，在我的博客园里留言的是你么：） 2010-3-19 10:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
kingstell 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	kingstell 2 楼 anti 不到我额 2010-3-1 13:38 0
blueapplez 雪币： 458 活跃值： (421) 能力值： ( LV9，RANK：610 ) 在线值：发帖 90 回帖 1047 粉丝 6 关注私信	blueapplez 14 3 楼 hi，爆破王子~ 你的OD咋这么厉害。。 2010-3-1 17:05 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 4 楼 TForm1.FormCreate 1.IsDebuggerPresent 2."Ollydbg - [CPU]"窗口查找 3."Ollydbg"窗口查找 4.手工一份IsDebuggerPresent TForm1.FormShow 1.CheckRemoteDebuggerPresent 2.EnumWindow检查窗口类名是不是ACPUASM,ACPUSTACK,ACPUDUMP,ACPUSTACK TForm1.FormActivate 1.历遍进程，检查进程有没有这些模块cmdbar.dll,cmdline.dll,IsDebug.dll,HideDebugger.dll,OllyDump.dll,OllyScript.dll.hidedbg.dll 如果找到则向进程0x4314f3处写入00 E6 47 00 04 16 00，共7个字节，那边是OD调用ContinueDebugEvent的地方。至于rdtsc间隔检查就不写了，到处都是。虽然没啥影响... 还有楼主的那个疑问，那个挑转是在PEB结构中的TLB结构指针为0的情况下才成立的，不过一般脑子没什么事情的程序都不会去清零那东西…… 2010-3-1 18:20 0
Hacksign 雪币： 2332 活跃值： (3804) 能力值： ( LV9，RANK：140 ) 在线值：发帖 34 回帖 113 粉丝 34 关注私信	Hacksign 2 5 楼呵呵,谢谢楼上....漏掉了formshow时间里面的检测. 那为什么是BFFC9CE4这个地址? 用od调试的话,rdtsc指令就有作用了...这个crackme叫anti ollydbg:) 2010-3-1 20:15 0
worms 雪币： 89 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 70 粉丝 0 关注私信	worms 6 楼飘过。。。。ing 2010-3-3 09:12 0
ttthhh 雪币： 56 活跃值： (276) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 184 粉丝 0 关注私信	ttthhh 7 楼想知道更详细一点的 2010-3-3 21:20 0
feiyucq 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	feiyucq 8 楼这个CM在我电脑上已出现直接就被诺顿干掉了，哈哈，看来只能在虚拟机里调了。。另外，在我的博客园里留言的是你么：） 2010-3-19 10:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复