能力值:
( LV9,RANK:250 )
|
-
-
2 楼
不错啊
通过即时调试器,跳过反跟踪,这处妙
|
能力值:
( LV9,RANK:3410 )
|
-
-
3 楼
不错
|
能力值:
( LV9,RANK:290 )
|
-
-
4 楼
支持随
便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后,其相应的进程却仍处于无法响应状态,这是为什么呢,不知楼主当时在Attach上mslrh 0.31时,有没有遇到这种情况
|
能力值:
( LV12,RANK:980 )
|
-
-
5 楼
太妙了!!!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
反单步的花太单调了,会被捕获规律的。不加密IAT,anti dump、anti ImportREC有局限性,可以直接绕过去。偷代码不敢多演,特征码的静态模糊分析即可。
|
能力值:
( LV9,RANK:250 )
|
-
-
7 楼
最初由 clide2000 发布 支持随 便请教一个问题。关于OD的Attach上其他里程后。我在OD中f9运行后,其相应的进程却仍处于无法响应状态,这是为什么呢,不知楼主当时在Attach上mslrh 0.31时,有没有遇到这种情况
已经在运行了.Ctrl+g: 401000看看
|
能力值:
(RANK:10 )
|
-
-
8 楼
Authorship.I support.
|
能力值:
( LV9,RANK:170 )
|
-
-
9 楼
支持支持!
|
能力值:
( LV9,RANK:290 )
|
-
-
10 楼
最初由 peaceclub 发布
已经在运行了.Ctrl+g: 401000看看
我后来发现用procexp.exe里的,debug功能,自动调用OD,Attach上其进程就没有这种情况,而当我手动启动OD,通过OD里的Attach命令来实现时,就出现被Attach程序没有响应的问题了.还没有找到原因
|
能力值:
( LV8,RANK:130 )
|
-
-
11 楼
脱法清新脱俗,耳目一新...
|
能力值:
(RANK:10 )
|
-
-
12 楼
试了下,脱了个出来。huh
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
多谢!学习中
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
最初由 peaceclub 发布 [工具]: Ollydbg,lordpe,imprec [介绍]:(from jingulong) 1.它主要的手段是用RDTSC(时间差)来Anti trace 2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent 3.修改文件头anti dump ........
请教:
是基于什么原理决定“68????????c3 (push ???????? retn)”处下手,与RDTSC的特性有关系吗?
多谢
|
能力值:
( LV4,RANK:50 )
|
-
-
15 楼
呵呵,不错。方法另类,要的就是这个异想天开,褒义哦
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
引用:
--------------------------------------------------------------------------------
最初由 peaceclub 发布
[工具]: Ollydbg,lordpe,imprec
[介绍]:(from jingulong)
1.它主要的手段是用RDTSC(时间差)来Anti trace
2.OutputDebugStringA+ZwQueryInformationProcess+IsDebuggerPresent
3.修改文件头anti dump
........
--------------------------------------------------------------------------------
请教:
是基于什么原理决定“68????????c3 (push ???????? retn)”处下手,与RDTSC的特性有关系吗?
多谢
|
能力值:
( LV9,RANK:250 )
|
-
-
17 楼
没多少原理,根据一点经验.
一般壳都会有long jump
比如upx的
popad
jmp .....
等,
那比较变形的形式有:
push oep
retn
所以我就搜索了68????????c3,果然碰上了.
一般利用rdtsc指令来反跟踪,与cpuid想结合,如果开始有pushad,后面都会有popad,中间有时间片检查,比如cmp eax,0ffffh等.
|
|
|