-
-
SOFTICE使用中的几点疑问
-
发表于:
2005-3-5 16:00
4352
-
一直对SOFTICE的应用不能做到得心应手,特别是壳的加入,更是雪上加霜。
下面是我长期使用SOFTICE的疑问,估计也有人同我一样的疑问,不吐不快:
1、用SOFTICE调试带壳的程序的时候,出现异常后,如何找到SE的句柄?
在OD中可以直接显示,断到句柄就可以进一步切入程序,SOFTICE中却看不到?如何找?(以前记得还有人用SOFTICE调试程序的壳,那就一定有办法做到的)
2、不管SOFTICE发展到4.05,4.27,4.31还是现在的DS3.2,软件在启动校验的时候总能检测到SOFTICE的存在,ICE插件也无能为力。虽然有的人总结了检测SOFTICE的方法,大概有10多种,有检测驱动的,有检测中断的。
但在实际应用中?如何来判断程序在检测自己的SOFTICE在内存中存在?如何来针对这些检测手动隐藏?如果程序中存在检测到SOFTICE后能提示的,还是很容易找到检测的地方的,但却不知道程序利用了哪个后门进行的检测。而介绍如何来隐藏的就更少了。
3、TRW中直接可以看到压栈的内容,在SOFTICE中,我只能用 D ESP来显示了。有其他的窍门能多开一个窗口吗?
4、我一直想:能不能修改一个面目全非的SOFTICE,但功力弱小,对驱动更是门外汗。所以如果哪位大虾有已经修改完的SOFTICE的驱动,还麻烦给上传一个,不盛感激。
如果有相关的经验请不啬赐教,谢谢先。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
