首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
加壳脱壳
发新帖
0
0
[求助]请问下armadillo的anti内存断点的方法。
发表于: 2013-7-21 20:01
5267
[求助]请问下armadillo的anti内存断点的方法。
fatecaster
1
2013-7-21 20:01
5267
用内存断点去跟踪一个全局变量,就被检测到了,没有调用VirtualProtect,我百度到以前有人讲过,看下检查时间的函数,不知道什么意思。rdtsc这个吗,但是不明白原理。
而且我用硬件断点跟,发现他的处理是让drx7=155,几次异常就死了,我写了个简单的插件,恢复硬件断点,只恢复drx1到drx3没有问题,但是恢复dr1~drx3和drx6,7就死了,而且硬件写入断点用不了,也不明白怎么anti的。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
5
)
fatecaster
雪 币:
135
活跃值:
(63)
能力值:
( LV5,RANK:60 )
在线值:
发帖
39
回帖
314
粉丝
0
关注
私信
fatecaster
1
2
楼
又研究了几个小时,感觉这壳真是难。。不能用硬件断点和内存断点观察变量,找的教程,都是用各种工具,也不说明原理。最开始的文章有的脚本运行结果不对,跟不下去了。。
2013-7-22 20:07
0
SpaceDye
雪 币:
37
活跃值:
(28)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
53
粉丝
0
关注
私信
SpaceDye
3
楼
可以先用工具看看用了Armadillo的哪些选项,根据不同的选项用不同的办法,有时候会很简单。
2013-7-22 20:32
0
hulucc
雪 币:
90
活跃值:
(80)
能力值:
( LV3,RANK:20 )
在线值:
发帖
22
回帖
469
粉丝
1
关注
私信
hulucc
4
楼
有现成的插件可以保护硬件断点的吧,不了解怎么anti就去单步哇,单步了就了解了
2013-7-22 22:20
0
fatecaster
雪 币:
135
活跃值:
(63)
能力值:
( LV5,RANK:60 )
在线值:
发帖
39
回帖
314
粉丝
0
关注
私信
fatecaster
1
5
楼
不是很明白为什么在解压之前让进程脱离patch几段代码就能修复了。我想自己跟IAT的处理,但是没有断点能用,刚看到一个ollyadvanced好像能用,phantom在win7上老是有点问题。查了半天的反硬件断点的,只看到VirtualProtect,然后就是用硬件断点来改变程序流程占用掉的,自己找不出来怎么anti的。
2013-7-22 23:50
0
hulucc
雪 币:
90
活跃值:
(80)
能力值:
( LV3,RANK:20 )
在线值:
发帖
22
回帖
469
粉丝
1
关注
私信
hulucc
6
楼
什么壳用xx断点之类的都是大牛把整个壳流程跟下来以后总结出来的,你如果真想知道为什么就只好自己跟一边。。无论谁拿到个新壳也不会知道该怎么操作吧
2013-7-23 18:51
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
fatecaster
1
39
发帖
314
回帖
60
RANK
关注
私信
他的文章
[求助]问一下这个ruby代码哪儿有问题
1311
[求助]请问下 这个tmd的脚本是否有问题
3926
[求助]oreans unvirtualizer的使用问题
13099
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部