在OD中对抗rdtsc-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过 2005-4-21 16:07 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 3 楼最初由 fly 发布我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过如果通篇都是rdtsc 2005-4-21 16:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼除了你估计没其他人这样干了 2005-4-21 16:29 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 5 楼以前研究ICEEXT代码的时候，曾试验性的写过这样一个SOFTICE插件。一时大意，WIN系统中毒删了WINDOW系统后，代码没保留。在单CPU上比较好处理，多CPU上写CR4标志位必须HOOK到APIC处理中断上，在DS3。0及DS3。1中断处理的方法不同，DS3。1采用CPTHOOK。SYS回调NTICE。SYS中的函数的方法来实现。其RDTSC异常处理中断为INT 0D，只须检测异常指令是否为RDTSC（0F 35）就行了。处理完后，注意堆栈恢复 2005-4-22 09:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼杀花的时候rdtsc作为一个陪葬品一起去见马克思了。 2005-4-22 22:58 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 7 楼曾经写了这么个脚本片断来跟踪mslrh,先打开open trace，然后...... var addr var eipval lbl1: sti mov eipval,eip cmp eipval,xxxx //判断是否为API调用 je lblapi //这里加上你自己想要处理的代码片段 and eipval,ffff0000 cmp eipval,310f jne lbl1 fill eip,2,90 sti sti fill eipval,1,0f inc eipval fill eipval,1,31 jmp lbl1 2005-4-23 01:03 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 8 楼最初由 forgot 发布杀花的时候rdtsc作为一个陪葬品一起去见马克思了。有CRC效验怎么办 2005-4-23 08:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 2 楼我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过 2005-4-21 16:07 0
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 169 粉丝 1 关注私信	Fpc 4 3 楼最初由 fly 发布我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过如果通篇都是rdtsc 2005-4-21 16:22 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 4 楼除了你估计没其他人这样干了 2005-4-21 16:29 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 5 楼以前研究ICEEXT代码的时候，曾试验性的写过这样一个SOFTICE插件。一时大意，WIN系统中毒删了WINDOW系统后，代码没保留。在单CPU上比较好处理，多CPU上写CR4标志位必须HOOK到APIC处理中断上，在DS3。0及DS3。1中断处理的方法不同，DS3。1采用CPTHOOK。SYS回调NTICE。SYS中的函数的方法来实现。其RDTSC异常处理中断为INT 0D，只须检测异常指令是否为RDTSC（0F 35）就行了。处理完后，注意堆栈恢复 2005-4-22 09:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼杀花的时候rdtsc作为一个陪葬品一起去见马克思了。 2005-4-22 22:58 0
loveboom 雪币： 556 活跃值： (2303) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 690 粉丝 13 关注私信	loveboom 53 7 楼曾经写了这么个脚本片断来跟踪mslrh,先打开open trace，然后...... var addr var eipval lbl1: sti mov eipval,eip cmp eipval,xxxx //判断是否为API调用 je lblapi //这里加上你自己想要处理的代码片段 and eipval,ffff0000 cmp eipval,310f jne lbl1 fill eip,2,90 sti sti fill eipval,1,0f inc eipval fill eipval,1,31 jmp lbl1 2005-4-23 01:03 0
liuyilin 雪币： 303 活跃值： (466) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 8 楼最初由 forgot 发布杀花的时候rdtsc作为一个陪葬品一起去见马克思了。有CRC效验怎么办 2005-4-23 08:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复