在OD中对抗rdtsc-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
fly 雪币： 894 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-21 16:07 2 楼 0 我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 159 粉丝 1 关注私信	Fpc 4 2005-4-21 16:22 3 楼 0 最初由 fly 发布我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过如果通篇都是rdtsc
fly 雪币： 894 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-21 16:29 4 楼 0 除了你估计没其他人这样干了
采臣·宁雪币： 70 活跃值： (110) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1342 粉丝 6 关注私信	采臣·宁 1 2005-4-22 09:56 5 楼 0 以前研究ICEEXT代码的时候，曾试验性的写过这样一个SOFTICE插件。一时大意，WIN系统中毒删了WINDOW系统后，代码没保留。在单CPU上比较好处理，多CPU上写CR4标志位必须HOOK到APIC处理中断上，在DS3。0及DS3。1中断处理的方法不同，DS3。1采用CPTHOOK。SYS回调NTICE。SYS中的函数的方法来实现。其RDTSC异常处理中断为INT 0D，只须检测异常指令是否为RDTSC（0F 35）就行了。处理完后，注意堆栈恢复
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2005-4-22 22:58 6 楼 0 杀花的时候rdtsc作为一个陪葬品一起去见马克思了。
loveboom 雪币： 513 活跃值： (2228) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 99 回帖 685 粉丝 10 关注私信	loveboom 53 2005-4-23 01:03 7 楼 0 曾经写了这么个脚本片断来跟踪mslrh,先打开open trace，然后...... var addr var eipval lbl1: sti mov eipval,eip cmp eipval,xxxx //判断是否为API调用 je lblapi //这里加上你自己想要处理的代码片段 and eipval,ffff0000 cmp eipval,310f jne lbl1 fill eip,2,90 sti sti fill eipval,1,0f inc eipval fill eipval,1,31 jmp lbl1
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2005-4-23 08:35 8 楼 0 最初由 forgot 发布杀花的时候rdtsc作为一个陪葬品一起去见马克思了。有CRC效验怎么办
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (7)
fly 雪币： 894 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-21 16:07 2 楼 0 我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过
Fpc 雪币： 598 活跃值： (282) 能力值： ( LV13，RANK：330 ) 在线值：发帖 26 回帖 159 粉丝 1 关注私信	Fpc 4 2005-4-21 16:22 3 楼 0 最初由 fly 发布我一般是在rdtsc两头拦截中间的shift+f9碰巧有的能过如果通篇都是rdtsc
fly 雪币： 894 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 295 回帖 7672 粉丝 32 关注私信	fly 85 2005-4-21 16:29 4 楼 0 除了你估计没其他人这样干了
采臣·宁雪币： 70 活跃值： (110) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1342 粉丝 6 关注私信	采臣·宁 1 2005-4-22 09:56 5 楼 0 以前研究ICEEXT代码的时候，曾试验性的写过这样一个SOFTICE插件。一时大意，WIN系统中毒删了WINDOW系统后，代码没保留。在单CPU上比较好处理，多CPU上写CR4标志位必须HOOK到APIC处理中断上，在DS3。0及DS3。1中断处理的方法不同，DS3。1采用CPTHOOK。SYS回调NTICE。SYS中的函数的方法来实现。其RDTSC异常处理中断为INT 0D，只须检测异常指令是否为RDTSC（0F 35）就行了。处理完后，注意堆栈恢复
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2005-4-22 22:58 6 楼 0 杀花的时候rdtsc作为一个陪葬品一起去见马克思了。
loveboom 雪币： 513 活跃值： (2228) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 99 回帖 685 粉丝 10 关注私信	loveboom 53 2005-4-23 01:03 7 楼 0 曾经写了这么个脚本片断来跟踪mslrh,先打开open trace，然后...... var addr var eipval lbl1: sti mov eipval,eip cmp eipval,xxxx //判断是否为API调用 je lblapi //这里加上你自己想要处理的代码片段 and eipval,ffff0000 cmp eipval,310f jne lbl1 fill eip,2,90 sti sti fill eipval,1,0f inc eipval fill eipval,1,31 jmp lbl1
liuyilin 雪币： 303 活跃值： (461) 能力值： ( LV2，RANK：10 ) 在线值：发帖 51 回帖 1007 粉丝 1 关注私信	liuyilin 2005-4-23 08:35 8 楼 0 最初由 forgot 发布杀花的时候rdtsc作为一个陪葬品一起去见马克思了。有CRC效验怎么办
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复