最初由 q3 watcher 发布
如月姐姐写的,我只是转一下.
作者原话:写着玩的， 我自己都不用
防
IsDebuggerProeset
RtlGetNtGlobalFlags
........

; #########################################################################

      .586
      .model flat, stdcall
      option casemap :none   ; case sensitive

; #########################################################################
      include \masm32\include\windows.inc
      include \masm32\include\user32.inc
      include \masm32\include\kernel32.inc
      
      includelib \masm32\lib\user32.lib
      includelib \masm32\lib\kernel32.lib
      
; #########################################################################   
    .data
      szTitle db "Error:",0h   
      szText db "Olly detected!",0h
      sznTitle db "SUCCESS:",0h   
      sznText db "Olly NOT detected!",0h
    .code

start:

    ASSUME FS:NOTHING
    MOV ECX,FS:[18h]
    MOV ECX,DWORD PTR DS:[ECX+30h]
    MOV EBX,ECX
    MOVZX ECX,BYTE PTR DS:[ECX+2h]
    TEST ECX,ECX
   JNE _OllyInvisibleDetected
    MOV DWORD PTR[EBX],12345678h
    CALL IsDebuggerPresent
    CMP EAX,34h
   JNE _OllyInvisibleDetected
    PUSH 40h
    PUSH offset sznTitle
    PUSH offset sznText
    PUSH 0
    CALL MessageBox
    RET
  _OllyInvisibleDetected:
    PUSH 30h
    PUSH offset szTitle
    PUSH offset szText
    PUSH 0
    CALL MessageBox
    RET

反OLY隐藏

最初由 q3 watcher 发布
如月姐姐写的,我只是转一下.
作者原话:写着玩的， 我自己都不用
防
IsDebuggerProeset
RtlGetNtGlobalFlags
........

如月姐姐

TO 蛋蛋:那样的代码有用吗?相当于两次调用IsDebuggerPresent,应该没有人笨到改IsDebuggerPresent本身的代码,所以乱添入的东西,之后再检测是不是被改了应该是没有作用.
TO shoooo:头像不是如月吗?那就是天天.

最初由 q3 watcher 发布
TO 蛋蛋:那样的代码有用吗?相当于两次调用IsDebuggerPresent,应该没有人笨到改IsDebuggerPresent本身的代码,所以乱添入的东西,之后再检测是不是被改了应该是没有作用.
TO shoooo:头像不是如月吗?那就是天天.

虽然不能在我的改版OLY完全跑起来，不过也没能把我OLY怎么样。

最初由 鸡蛋壳 发布


虽然不能在我的改版OLY完全跑起来，不过也没能把我OLY怎么样。

蛋蛋厉害这一点我清楚,但对于这个壳不能完全跑起来和完全跑不起来没什么区别,你不会从出错的地方获得什么有用的信息,到头来还是要腿儿着把全部代码走一边,想走捷径只会加速耗尽你的耐心。

good cool

最初由 q3 watcher 发布

蛋蛋厉害这一点我清楚,但对于这个壳不能完全跑起来和完全跑不起来没什么区别,你不会从出错的地方获得什么有用的信息,到头来还是要腿儿着把全部代码走一边,想走捷径只会加速耗尽你的耐心。

从破解的角度来看，当然可以走捷径了。

最初由 鸡蛋壳 发布


从破解的角度来看，当然可以走捷径了。

即内存补丁.但有两个前提条件:1.你知道补丁那里.2.你的补丁在有壳的情况下可以工作.这两点都要以事先跟踪为前提．我觉得现在的壳发展趋势上有些问题，总是在加大修复难度上下功夫，但在反跟踪上却不舍得下狠手，造成程序很容易被跟进去，并且可以用内存补丁解决之后的问题．这样一来壳并没有起到应有的保护作用，虽说它和程序结合的很紧密．所以说阻止修复只应是壳的一小部分，而更大部分的东西因该是用来抵抗攻击的．可以跟踪但无法修复起码还有希望，而跟不下去时的心理状态就会完全不同．不停的尝试不断的失败，总是碰上各种各样另人不开心的东西却看不离出口还有多远，这种心情一定没什么人喜欢，于是也没有什么人愿意继续走下去．通常情况下压垮人的不是事物本身，而是人们的内心。

最初由 q3 watcher 发布

...通常情况下压垮人的不是事物本身，而是人们的内心。

最初由 q3 watcher 发布

即内存补丁.但有两个前提条件:1.你知道补丁那里.2.你的补丁在有壳的情况下可以工作.这两点都要以事先跟踪为前提．我觉得现在的壳发展趋势上有些问题，总是在加大修复难度上下功夫，但在反跟踪上却不舍得下狠手，造成程序很容易被跟进去，并且可以用内存补丁解决之后的问题．这样一来壳并没有起到应有的保护作用，虽说它和程序结合的很紧密．所以说阻止修复只应是壳的一小部分，而更大部分的东西因该是用来抵抗攻击的．可以跟踪但无法修复起码还有希望，而跟不下去时的心理状态就会完全不同．不停的尝试不断的失败，总是碰上各种各样另人不开心的东西却看不离出口还有多远，这种心情一定没什么人喜欢，于是也没有什么人愿意继续走下去．通常情况下压垮人的不是事物本身，而是人们的内心。

每次直接运行q3兄的unpackit都三晶牌葡萄糖酸钙--蓝瓶

很郁闷，希望以后版本在没打开si服务的情况下能放一马

都三晶牌葡萄糖酸钙--蓝瓶
采

IC只要装了就会这样,Themida是只要运行就会这样.壳里本身没有驱动,是他们自己的问题.主要是用来反IC,在OD下则是反单步,其实代码本身没有两行字,只是这种损招儿没什么人用.

最初由 q3 watcher 发布

即内存补丁.但有两个前提条件:1.你知道补丁那里.2.你的补丁在有壳的情况下可以工作.这两点都要以事先跟踪为前提．我觉得现在的壳发展趋势上有些问题，总是在加大修复难度上下功夫，但在反跟踪上却不舍得下狠手，造成程序很容易被跟进去，并且可以用内存补丁解决之后的问题．这样一来壳并没有起到应有的保护作用，虽说它和程序结合的很紧密．所以说阻止修复只应是壳的一小部分，而更大部分的东西因该是用来抵抗攻击的．可以跟踪但无法修复起码还有希望，而跟不下去时的心理状态就会完全不同．不停的尝试不断的失败，总是碰上各种各样另人不开心的东西却看不离出口还有多远，这种心情一定没什么人喜欢，于是也没有什么人愿意继续走下去．通常情况下压垮人的不是事物本身，而是人们的内心。

反跟踪过强直接造成兼容。所以壳还是做好自己的本分，在不损失过多效率前提能够不被修复已经很了不起了。其实我有了一个新的思路来反脱壳，我现在不完全需要依靠什么猛壳，猛壳效率太差了，不是我想看到的结果。那么效率优良的程序被一个猛壳给毁了。毫无意义可言。

最初由 鸡蛋壳 发布


反跟踪过强直接造成兼容。所以壳还是做好自己的本分，在不损失过多效率前提能够不被修复已经很了不起了。其实我有了一个新的思路来反脱壳，我现在不完全需要依靠什么猛壳，猛壳效率太差了，不是我想看到的结果。那么效率优良的程序被一个猛壳给毁了。毫无意义可言。

随着CPU和RAM的发展,效率这个问题将被淡化.只要不箱XPR做的那样过火就是了.兼容的问题就只能先这样了,代码模拟和大量RDTSC的使用就会是这种结果,做什么都会有代价的."一个新的思路来反脱壳,我现在不完全需要依靠什么猛壳"即无壳胜有壳,这样就不会被脱了.

最初由 q3 watcher 发布

随着CPU和RAM的发展,效率这个问题将被淡化.只要不箱XPR做的那样过火就是了.兼容的问题就只能先这样了,代码模拟和大量RDTSC的使用就会是这种结果,做什么都会有代价的."一个新的思路来反脱壳,我现在不完全需要依靠什么猛壳"即无壳胜有壳,这样就不会被脱了.

放心，你会碰到的。很简单的一个思路，确很有效。