首页
社区
课程
招聘
anti trick Ⅱ -- InString
发表于: 2005-9-16 11:04 9119

anti trick Ⅱ -- InString

2005-9-16 11:04
9119

anti trick Ⅱ -- InString

site:www.ptteam.com
by 来自轻院的狼[Immlep]

这个不是什么新鲜的东西,不过我还没有见过有人在壳中使用的,用这个来做anti,它比FindWindow强很多了,不过这些东西说出来后,以后就没什么,可能以后你一看到类似的anti你就会很清楚了,另外这个anti调用的函数过多,代码长,挺不好的,本文中的例子(InString )是我引用现成的代码的,只不过做了一下简单的修改。思路是使用GetWindow循环获取系统的窗口的标题,查看标题中是否包含了要查找的关键字,如果发现,就做坏事,这个来检测Ollydbg也挺好的,可以检测"- [CPU - ",这样的字样,另外因为Ollydbg调试的时候会把被调试程序的名称显示在Ollydbg的窗口中,所以我们也可以检测“-debugme.exe-[”这样的字符(debugme.exe为被调试程序的名称,你可以用GetFullFilename等函数来获取被加壳后程序的名称,然后再处理一下),当然最好先给这些字符加密一下了。。

还有你可以用InString来做不anti的其它事情,这样可以防止调试者在InString做手脚,另外这个anti调用的函数,你最好也让它干一些有用的东西,不要只拿来做anti,很容易被hook的:)

我测试了一下,anti效果还是良好的,什么修改版的Od都被干掉了(当然不保证以后),SoftICE的loader也不例外:)


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (12)
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
2
spy++用了这个api。

在Ring0 hook掉NtUserBuildHwndList后,FindWindow,EnumWindow等都
不能得到被滤掉的hwnd,这个api却可以。

里面似乎没有什么系统服务调用,我是在ring3 hook了一下。
2005-9-16 12:09
0
雪    币: 303
活跃值: (476)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
好!!!!!!!!!!!!!!!!!!
2005-9-16 13:07
0
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
4
多放点东西出来大家学习学习
2005-9-16 14:36
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
支持,把坏事做绝,关键API使用代码模拟,对其他进行检测,发现就把进程杀光.
2005-9-16 17:47
0
雪    币: 10734
活跃值: (2449)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我晕 我的od怎么才能不怕这些BY的家伙
2005-9-16 17:59
0
雪    币: 238
活跃值: (326)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
7
如果我简单的将OD中窗口标题的显示给Nop掉,你怎么办?
2005-9-18 12:44
0
雪    币: 298
活跃值: (445)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
8
最初由 gzgzlxg 发布
如果我简单的将OD中窗口标题的显示给Nop掉,你怎么办?


我只能说,通往罗马的道路不只一条
2005-9-18 14:31
0
雪    币: 238
活跃值: (326)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
9
你的第一篇附件中的debugme.exe有源代码吗?能否给一份学习学习。
另外,你的网站即不给浏览,又不给注册,为什么?
2005-9-19 01:22
0
雪    币: 298
活跃值: (445)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
10
最初由 gzgzlxg 发布
你的第一篇附件中的debugme.exe有源代码吗?能否给一份学习学习。
另外,你的网站即不给浏览,又不给注册,为什么?


有这事?我这里没有什么问题啊??可以上啊。。注册我也开通了!!

附件中是debugme的代码。。当初写的时候很匆忙。。也写的比较快。。所示很乱。。我刚才用masm32编译了一下似乎有点问题。。这里仅供参考,如果有什么好的点子的话,大家可以交流交流。。谢谢!!

¸½¼þ:antidebug.rar 附件:antidebug.rar
2005-9-19 01:55
0
雪    币: 194
活跃值: (2345)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
ilovexiaoru 是不是这密码了哦
2005-9-19 04:07
0
雪    币: 238
活跃值: (326)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
12
Immlep:
非常感谢。
另外,网站注册时显示如下信息:
Not Found
The requested URL was not found on this server
2005-9-19 05:44
0
雪    币: 298
活跃值: (445)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
13
最初由 gzgzlxg 发布
Immlep:
非常感谢。
另外,网站注册时显示如下信息:
Not Found
The requested URL was not found on this server

可以了。。之前为了防止一些自动注册机注册。。所以把注册页面改了名字。。。
2005-9-19 10:02
0
游客
登录 | 注册 方可回帖
返回
//