首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
新版微狗程序加入的Anit Debug部分.
发表于: 2005-3-21 00:24 6434

新版微狗程序加入的Anit Debug部分.

nig 活跃值
4
2005-3-21 00:24
6434
程序中还有几处,没有全列出来,但与此类似.

0012F4F0   100022FF  /CALL 到 CreateFileA 来自 win32dll.100022FD
0012F4F4   0012F620  |FileName = "\\.\NTICE"
0012F4F8   80000000  |Access = GENERIC_READ
0012F4FC   00000001  |ShareMode = FILE_SHARE_READ
0012F500   00000000  |pSecurity = NULL
0012F504   00000003  |Mode = OPEN_EXISTING
0012F508   00000020  |Attributes = ARCHIVE
0012F50C   00000000  \hTemplateFile = NULL

0012F4F0   100022FF  /CALL 到 CreateFileA 来自 win32dll.100022FD
0012F4F4   0012F620  |FileName = "\\.\SICE"
0012F4F8   80000000  |Access = GENERIC_READ

0012F4F0   100022FF  /CALL 到 CreateFileA 来自 win32dll.100022FD
0012F4F4   0012F620  |FileName = "\\.\TRW"
0012F4F8   80000000  |Access = GENERIC_READ
0012F4FC   00000001  |ShareMode = FILE_SHARE_READ

0012F4F0   100022FF  /CALL 到 CreateFileA 来自 win32dll.100022FD
0012F4F4   0012F620  |FileName = "\\.\TRWDEBUG"
0012F4F8   80000000  |Access = GENERIC_READ
0012F4FC   00000001  |ShareMode = FILE_SHARE_READ

0012F4F0   100022FF  /CALL 到 CreateFileA 来自 win32dll.100022FD
0012F4F4   0012F620  |FileName = "\\.\ICEDUMP"
0012F4F8   80000000  |Access = GENERIC_READ
0012F4FC   00000001  |ShareMode = FILE_SHARE_READ

以往的修改方式怕要改改了.呵呵.

1000E97D  MOV ESI,DWORD PTR SS:[EBP+8]
1000E980  MOV AL,BYTE PTR DS:[ESI]   ; 比较读狗程序中是否加了断点
1000E982  CMP AL,0CC
1000E984  JE SHORT win32dll.1000E98A

换汤不换药的东东.

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (17)
nbw
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
2
nig也搞狗?
2005-3-21 00:35
0
dalao
雪    币: 1866
活跃值: (95)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
呵呵!再加Anit Debug 也没用!总归还是垃圾狗!
2005-3-21 01:30
0
萝卜
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
最初由 nbw 发布
nig也搞狗?

nig是打狗高手。
2005-3-21 02:03
0
萝卜
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
这是什么狗?怎么找到你说的比较是否有断点的那个地方?
2005-3-21 02:11
0
骨灰C
雪    币: 217
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
有空时 我把它的iat处理换算表贴出来 这样可以完整的脱出来。要复制和smc的人就不要看了。
2005-3-21 09:21
0
benbentaiyang
雪    币: 234
活跃值: (61)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
不懂狗,但是懂得顶哦!!
2005-3-21 09:27
0
萝卜
雪    币: 260
活跃值: (81)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
8
最初由 骨灰C 发布
有空时 我把它的iat处理换算表贴出来 这样可以完整的脱出来。要复制和smc的人就不要看了。

支持!
2005-3-21 12:06
0
落魄浪子
雪    币: 298
活跃值: (566)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
私信
9
支持
2005-3-21 12:14
0
HJZ
雪    币: 200
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
HJZ
10
喜欢共享,支持
2005-3-21 12:19
0
oep1
雪    币: 4908
活跃值: (2343)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
11
谢谢,看来其他软件检测的方法也差不多。
2005-3-21 12:33
0
cd37ycs
雪    币: 198
活跃值: (1585)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
最初由 benbentaiyang 发布
不懂狗,但是懂得顶哦!!
2005-3-21 14:10
0
无奈无赖
雪    币: 117
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
最初由 benbentaiyang 发布
不懂狗,但是懂得顶哦!!


偶最喜欢引用这位兄弟的贴子,呵呵,每句话都说到我心坎上去了
2005-3-21 15:38
0
orchid88
雪    币: 84
活跃值: (710)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
14
最初由 骨灰C 发布
有空时 我把它的iat处理换算表贴出来 这样可以完整的脱出来。要复制和smc的人就不要看了。
强烈支持,希望骨灰C早点帖出来,期盼中!
2005-3-21 15:43
0
Pan88168
雪    币: 463
活跃值: (116)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
最初由 nig 发布
程序中还有几处,没有全列出来,但与此类似.

0012F4F0 100022FF /CALL 到 CreateFileA 来自 win32dll.100022FD
0012F4F4 0012F620 |FileName = "\\.\NTICE"
0012F4F8 80000000 |Access = GENERIC_READ
........


放出来我玩玩:)

最初由 骨灰C 发布
有空时 我把它的iat处理换算表贴出来 这样可以完整的脱出来。要复制和smc的人就不要看了。


什么时候搞出来呀,我等你好久了:)

2005-3-21 17:54
0
sunjke
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
楼主说的新版微狗是3.4的还是刚出的4.0啊??
2005-3-21 18:59
0
yintao
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
17
不懂狗,但是懂得顶哦!!
2005-3-22 11:57
0
hhtcb
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
工作缘故,好久没上来了,给nig捧捧场!
2005-3-22 17:56
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//