能力值:
( LV2,RANK:10 )
|
-
-
26 楼
看马也知道是VC写的吗
|
能力值:
( LV8,RANK:130 )
|
-
-
27 楼
最初由 q3 watcher 发布 http://wasm.ru/baixado.php?mode=tool&id=313
cool...
|
能力值:
(RANK:1060 )
|
-
-
28 楼
问题:
这么说user32应该不会被重定位吧?
菜鸟教学:
1.根据dll大小分配内存,把dll读入
2.获得api的地址,根据dll块表找到physoffset
3.调用 空间地址+physoffset
4.释放内存
|
能力值:
( LV4,RANK:50 )
|
-
-
29 楼
嘿嘿,脱壳机
|
能力值:
( LV9,RANK:1210 )
|
-
-
30 楼
forgot终于浮出来了 。
themida在查找函数地址的时候用的是gzgzlxg文章介绍的
方式。我用GetProcAddress只是图省事。
我想这个玩艺能工作是用了绑定输入
|
能力值:
(RANK:1060 )
|
-
-
31 楼
最初由 Lenus 发布 请问一下...q3兄用的是什么工具得到上面的数据?
感觉这样GetFileSize不是很保险...访问数据段,重定位等等都存在问题吧!
数据段指向真正的user32.dll,
如果有绝对地址都会访问真的dll
相对地址比如jmp/call因为都是固定偏移,也不存在重定位的问题。 ======================
to softworm
这招真的不错啊,用来做krnl/usr/gdi/adv等系统dll的IAT加密还能防断点。
windows肯定都有bound imports
甚至可以在写myGetProcAddr的时候判断一下timestamp,把bound的都用这种方式,只是浪费一点点内存:)
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
下来看看。~~~~~~~~~~~~~~
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
看见想看的东西了不能潜水了
|
能力值:
( LV9,RANK:450 )
|
-
-
34 楼
研究研究。
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
KERNEL32.VirtualFree
是什么函数,申请空间吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
强帖,这个可以用在反hook上的吧
|
能力值:
( LV4,RANK:50 )
|
-
-
37 楼
强帖,这个可以用在反hook上的吧
也就?付你自己呃?的人反HOOK 好用吧 ,?付其他人未必好用阿
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
感觉有人身攻击嫌疑,什么叫就只能对付我这样的人.
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
学习中,呵呵
|
能力值:
( LV4,RANK:50 )
|
-
-
40 楼
走的时候 切断了别人与你的一切联系方法 后来“青蛙王子”还问我知不知你上那里去了 ,我一看QQ里都找不到你了
|
|
|