[求助]修改进程PEB ！为什么不起作用？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 2 楼帖子表意不明改这些东西做什么，为了注入hs？你改这么多，本来不想检测你的，但此时，都不得不检测你了！ 2011-8-1 14:09 0
蘇仨雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 59 粉丝 0 关注私信	蘇仨 3 楼 HS 会检测PEB标志位 2011-8-2 03:48 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 4 楼 BOOL MyIsDebuggerPresent(VOID) { __asm { mov eax, fs:[0x30] movzx eax,byte ptr [eax+2] mov eax,0 } return TRUE; } BOOL MyNtGlobalFlag(VOID) { __asm { mov eax, fs:[30] movzx eax,byte ptr [eax+0x68] mov eax, 0 } return TRUE; } BOOL MyProcessHeapFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov eax, [eax+0ch] //PEB.ProcessHeap.Flags mov eax, 2h } return TRUE; } BOOL MyProcessHeapForceFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov eax, [eax+10h] //PEB.ProcessHeap.ForceFlags mov eax, 0 } return TRUE; } 只看到读，没看到改 2011-8-2 12:58 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 5 楼 BOOL MyIsDebuggerPresent(VOID) { __asm { mov eax, fs:[0x30] movzx byte ptr [eax+2],0 } return TRUE; } BOOL MyNtGlobalFlag(VOID) { __asm { mov eax, fs:[30] movzx byte ptr [eax+0x68], 0 } return TRUE; } BOOL MyProcessHeapFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov dword ptr [eax+0ch],2h } return TRUE; } BOOL MyProcessHeapForceFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov dword ptr [eax+10h] , 0 } return TRUE; } 2011-8-2 21:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 2 楼帖子表意不明改这些东西做什么，为了注入hs？你改这么多，本来不想检测你的，但此时，都不得不检测你了！ 2011-8-1 14:09 0
蘇仨雪币： 48 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 59 粉丝 0 关注私信	蘇仨 3 楼 HS 会检测PEB标志位 2011-8-2 03:48 0
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 4 楼 BOOL MyIsDebuggerPresent(VOID) { __asm { mov eax, fs:[0x30] movzx eax,byte ptr [eax+2] mov eax,0 } return TRUE; } BOOL MyNtGlobalFlag(VOID) { __asm { mov eax, fs:[30] movzx eax,byte ptr [eax+0x68] mov eax, 0 } return TRUE; } BOOL MyProcessHeapFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov eax, [eax+0ch] //PEB.ProcessHeap.Flags mov eax, 2h } return TRUE; } BOOL MyProcessHeapForceFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov eax, [eax+10h] //PEB.ProcessHeap.ForceFlags mov eax, 0 } return TRUE; } 只看到读，没看到改 2011-8-2 12:58 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 5 楼 BOOL MyIsDebuggerPresent(VOID) { __asm { mov eax, fs:[0x30] movzx byte ptr [eax+2],0 } return TRUE; } BOOL MyNtGlobalFlag(VOID) { __asm { mov eax, fs:[30] movzx byte ptr [eax+0x68], 0 } return TRUE; } BOOL MyProcessHeapFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov dword ptr [eax+0ch],2h } return TRUE; } BOOL MyProcessHeapForceFlags(VOID) { __asm { mov eax, fs:[30h] mov eax, [eax+18h] //PEB.ProcessHeap mov dword ptr [eax+10h] , 0 } return TRUE; } 2011-8-2 21:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复