[分享]小反调试,不知道大家知道不-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
yunsini 雪币： 292 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yunsini 2 楼第一个参数是负1表示什么？ 2012-3-3 02:44 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 3 楼代表查询本进程 2012-3-3 02:45 0
yunsini 雪币： 292 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yunsini 4 楼确实。刚刚在微软官网看到了。。。但是我怎么在很多地方看到的定义都是： NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength OPTIONAL ); 2012-3-3 03:03 0
老伙计雪币： 807 活跃值： (2218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 5 楼漏网之鱼，petrel里面也用到，目前的SOD、Olly Advanced插件里面都没有处理到此anti Olly advanced 只是处理了InfoClass = 7 和 0 的情况，对 InfoClass = 1E(30) 未进行任何处理。 [ntdll.ZwQueryInformationProcess] 7C92D7E0 ntdll.ZwQueryInformationProcess 7C92D7E0 > B8 9A000000 mov eax, 9A 7C92D7E5 BA 0003FE7F mov edx, 7FFE0300 7C92D7EA - E9 11286503 jmp 7FF80000 7FF80000 FF12 call dword ptr [edx] ; ntdll.KiFastSystemCall 7FF80002 837C24 08 07 cmp dword ptr [esp+8], 7 ; Check InfoClass 7FF80007 75 11 jnz short 7FF8001A 7FF80009 8B4424 0C mov eax, dword ptr [esp+C] 7FF8000D C700 00000000 mov dword ptr [eax], 0 7FF80013 33C0 xor eax, eax 7FF80015 C2 1400 retn 14 7FF80018 EB 1D jmp short 7FF80037 7FF8001A 837C24 08 00 cmp dword ptr [esp+8], 0 ; Check InfoClass. 7FF8001F 75 13 jnz short 7FF80034 7FF80021 8B4424 0C mov eax, dword ptr [esp+C] 7FF80025 60 pushad 7FF80026 8B78 10 mov edi, dword ptr [eax+10] 7FF80029 8978 14 mov dword ptr [eax+14], edi 7FF8002C 61 popad 7FF8002D 33C0 xor eax, eax 7FF8002F C2 1400 retn 14 7FF80032 EB 03 jmp short 7FF80037 7FF80034 C2 1400 retn 14 这是Olly Advanced v1.27 对 [ntdll.ZwQueryInformationProcess] 的hook处理，如果把 InfoClass = 1E(30) 当成 InfoClass = 7 那样处理，就可以过此 anti 了。 2012-3-3 09:52 0
yulin 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	yulin 6 楼很好,收下备用 2012-3-3 10:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
yunsini 雪币： 292 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yunsini 2 楼第一个参数是负1表示什么？ 2012-3-3 02:44 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 3 楼代表查询本进程 2012-3-3 02:45 0
yunsini 雪币： 292 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	yunsini 4 楼确实。刚刚在微软官网看到了。。。但是我怎么在很多地方看到的定义都是： NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation( IN SYSTEM_INFORMATION_CLASS SystemInformationClass, IN OUT PVOID SystemInformation, IN ULONG SystemInformationLength, OUT PULONG ReturnLength OPTIONAL ); 2012-3-3 03:03 0
老伙计雪币： 807 活跃值： (2218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 5 楼漏网之鱼，petrel里面也用到，目前的SOD、Olly Advanced插件里面都没有处理到此anti Olly advanced 只是处理了InfoClass = 7 和 0 的情况，对 InfoClass = 1E(30) 未进行任何处理。 [ntdll.ZwQueryInformationProcess] 7C92D7E0 ntdll.ZwQueryInformationProcess 7C92D7E0 > B8 9A000000 mov eax, 9A 7C92D7E5 BA 0003FE7F mov edx, 7FFE0300 7C92D7EA - E9 11286503 jmp 7FF80000 7FF80000 FF12 call dword ptr [edx] ; ntdll.KiFastSystemCall 7FF80002 837C24 08 07 cmp dword ptr [esp+8], 7 ; Check InfoClass 7FF80007 75 11 jnz short 7FF8001A 7FF80009 8B4424 0C mov eax, dword ptr [esp+C] 7FF8000D C700 00000000 mov dword ptr [eax], 0 7FF80013 33C0 xor eax, eax 7FF80015 C2 1400 retn 14 7FF80018 EB 1D jmp short 7FF80037 7FF8001A 837C24 08 00 cmp dword ptr [esp+8], 0 ; Check InfoClass. 7FF8001F 75 13 jnz short 7FF80034 7FF80021 8B4424 0C mov eax, dword ptr [esp+C] 7FF80025 60 pushad 7FF80026 8B78 10 mov edi, dword ptr [eax+10] 7FF80029 8978 14 mov dword ptr [eax+14], edi 7FF8002C 61 popad 7FF8002D 33C0 xor eax, eax 7FF8002F C2 1400 retn 14 7FF80032 EB 03 jmp short 7FF80037 7FF80034 C2 1400 retn 14 这是Olly Advanced v1.27 对 [ntdll.ZwQueryInformationProcess] 的hook处理，如果把 InfoClass = 1E(30) 当成 InfoClass = 7 那样处理，就可以过此 anti 了。 2012-3-3 09:52 0
yulin 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	yulin 6 楼很好,收下备用 2012-3-3 10:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复