首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[讨论]超好玩的壳,神秘的技术!!!
发表于: 2011-3-16 00:14 6105

[讨论]超好玩的壳,神秘的技术!!!

helinze 活跃值
2011-3-16 00:14
6105
遇到一个壳,哈哈,初次调试的时候,怎么设置都会被检测到,最新的各种隐藏插件在这个壳面前一点作用没有,开始以为是插件设置问题,几乎换遍了各种搭配(一个功能一个功能的试)都仍然被检测到。
后来,我硬着头皮下了个API断点(GetMoudleHandA),一运行,程序崩溃了。戏剧性的结果来了,我接着重新载入,删除API断点,居然检测不到OD了?程序跑起来了!并且重新载入多少次都没有问题了,这是为什么啊?OD的bug?还是壳的BUG?还是系统的?请各位大大指教

给出软件地址:(网站的第一个软件)
http://www.e122.com/

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (6)
helinze
雪    币: 457
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
弄不好多出一种反检测技术了,呵呵,下API断点让猛壳崩溃,然后就能调试了,呵呵。
静待高手解答
2011-3-16 00:18
0
luckxiao
雪    币: 279
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
VMProtect

OEP

00910C28    55              push    ebp
00910C29    8BEC            mov     ebp, esp
00910C2B    83C4 F0         add     esp, -0x10
00910C2E    53              push    ebx
00910C2F    56              push    esi
00910C30    57              push    edi
00910C31    B8 B0F89000     mov     eax, 0090F8B0
00910C36    E8 2D69AFFF     call    00407568

IAT用Nooby大牛的DLL修复。
2011-3-16 09:08
0
helinze
雪    币: 457
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
哦,是VMProtect啊
但是OEP好像不对啊,我感觉好像是00911943,用peid插件检测是00911930

还有,为什么程序崩溃一次前OD会被检测到,但程序崩溃一次后,OD就检测不到了?这是为什么啊
2011-3-16 11:13
0
zenix
雪    币: 2386
活跃值: (1382)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
检测系统 API 的入口是否为 int 03
2011-3-16 11:18
0
helinze
雪    币: 457
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
那为什么崩溃一次后就能调试了呢?而且不论如何退出,重启,载入,都能调试了,这又是为什么
2011-3-16 11:30
0
helinze
雪    币: 457
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
你的OEP是对的,
2011-3-16 11:57
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//