[原创]原创的壳-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 2013-10-21 17:18 2 楼 0 支持一个，以前一直想写来着
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2013-10-21 17:27 3 楼 0 汇编写的来着我觉得这个exe很适合用来做逆向练习
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 2013-10-21 22:19 4 楼 0 差不多是这样写的吧? #include <imagehlp.h> void PreLoader() { if (!IsDebuggerPresent()) { HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); PROCESSENTRY32 pe; pe.dwSize=sizeof(PROCESSENTRY32); DWORD dwParentPID; if(Process32First(hSnapshot,&pe)) { do { if (GetCurrentProcessId()==pe.th32ProcessID) { dwParentPID=pe.th32ParentProcessID; break; } } while (Process32Next(hSnapshot,&pe)); } if(Process32First(hSnapshot,&pe)) { do { if (dwParentPID==pe.th32ProcessID) { if (lstrcmp(pe.szExeFile,"explorer.exe")) { MessageBox(NULL,"Debugger Detected!","GameOver",MB_OK); TerminateProcess(GetCurrentProcess(),0); } else break; } } while (Process32Next(hSnapshot,&pe)); } TCHAR strExeFileame[MAX_PATH]={0}; DWORD dwHeadersum,dwChecksum; MapFileAndCheckSum(GetModuleFileName(GetModuleHandle(NULL),strExeFileame,MAX_PATH),&dwHeadersum,&dwChecksum); if (dwChecksum==(dwHeadersum+0x0c)>>1) { //Jump to OEP } } }
baccon 雪币： 70 活跃值： (88) 能力值： ( LV5，RANK：70 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	baccon 1 2013-10-23 15:34 5 楼 0 差不多。 source.rar 还有个加了一点SEH。上传的附件： source.rar （1.58kb，28次下载）
baccon 雪币： 70 活跃值： (88) 能力值： ( LV5，RANK：70 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	baccon 1 2013-10-23 15:37 6 楼 0 其实还是有点不同的，你这种必须加载imagehlp.dll，我的在堆中kernel32.dll的模块地址，在找函数地址，再加载函数。
恶毛毛L 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	恶毛毛L 2013-10-23 15:51 7 楼 0 这段代码是说如果父进程是explorer.exe就结束掉该进程吗？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (6)
tuobaofeng 雪币： 108 活跃值： (44) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 149 粉丝 0 关注私信	tuobaofeng 2013-10-21 17:18 2 楼 0 支持一个，以前一直想写来着
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 2013-10-21 17:27 3 楼 0 汇编写的来着我觉得这个exe很适合用来做逆向练习
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 2013-10-21 22:19 4 楼 0 差不多是这样写的吧? #include <imagehlp.h> void PreLoader() { if (!IsDebuggerPresent()) { HANDLE hSnapshot=CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); PROCESSENTRY32 pe; pe.dwSize=sizeof(PROCESSENTRY32); DWORD dwParentPID; if(Process32First(hSnapshot,&pe)) { do { if (GetCurrentProcessId()==pe.th32ProcessID) { dwParentPID=pe.th32ParentProcessID; break; } } while (Process32Next(hSnapshot,&pe)); } if(Process32First(hSnapshot,&pe)) { do { if (dwParentPID==pe.th32ProcessID) { if (lstrcmp(pe.szExeFile,"explorer.exe")) { MessageBox(NULL,"Debugger Detected!","GameOver",MB_OK); TerminateProcess(GetCurrentProcess(),0); } else break; } } while (Process32Next(hSnapshot,&pe)); } TCHAR strExeFileame[MAX_PATH]={0}; DWORD dwHeadersum,dwChecksum; MapFileAndCheckSum(GetModuleFileName(GetModuleHandle(NULL),strExeFileame,MAX_PATH),&dwHeadersum,&dwChecksum); if (dwChecksum==(dwHeadersum+0x0c)>>1) { //Jump to OEP } } }
baccon 雪币： 70 活跃值： (88) 能力值： ( LV5，RANK：70 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	baccon 1 2013-10-23 15:34 5 楼 0 差不多。 source.rar 还有个加了一点SEH。上传的附件： source.rar （1.58kb，28次下载）
baccon 雪币： 70 活跃值： (88) 能力值： ( LV5，RANK：70 ) 在线值：发帖 15 回帖 91 粉丝 0 关注私信	baccon 1 2013-10-23 15:37 6 楼 0 其实还是有点不同的，你这种必须加载imagehlp.dll，我的在堆中kernel32.dll的模块地址，在找函数地址，再加载函数。
恶毛毛L 雪币： 28 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 30 粉丝 0 关注私信	恶毛毛L 2013-10-23 15:51 7 楼 0 这段代码是说如果父进程是explorer.exe就结束掉该进程吗？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复