首页
社区
课程
招聘
可以在softice下跑的icesword.v1.12
发表于: 2006-5-11 12:09 12954

可以在softice下跑的icesword.v1.12

2006-5-11 12:09
12954
anti-antidebug

以前想anti-icesword的检测,搞了一个可以在softice下跑的icesword,看到作者忙于频繁更新,但bug越来越多

看了说明,才知道是加强antidebug,功能没升级。失望。。

icesword东西已经不是秘密了,放着也是浪费,想研究icesword的可以用这个版本,在softice下跑来看看


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (17)
雪    币: 239
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
DING!!!
2006-5-11 12:57
0
雪    币: 193
活跃值: (1389)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
楼主能够写篇文章就好了,如何绕过...
2006-5-11 14:04
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
最初由 jskew 发布
anti-antidebug

以前想anti-icesword的检测,搞了一个可以在softice下跑的icesword,看到作者忙于频繁更新,但bug越来越多

看了说明,才知道是加强antidebug,功能没升级。失望。。
........


早就在驱网上看到了,转发不贴出处?

我有点失望的是作者现在不愿意多为IceSword多花精力,更新很少太慢。难道没有利益的程序最后都会这样?
“功能没升级”,pjf在blog上是说没怎么改,不过就我对一些rootkit(像Futo_enhance)的测试结果看,或许像pjf说的改动“小”,但绝对有修改,小不小我说不出,有能的人分析一下给我们说说
2006-5-15 15:40
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
不好意思哦,这是原创的

你说的原帖在那里,给个连接,我去看看
2006-5-15 16:02
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
最初由 jskew 发布
不好意思哦,这是原创的

你说的原帖在那里,给个连接,我去看看


怎么驱网现在上不了,google一下“可调试的IceSword”,第一条就是,有几个月了。
没有下载你的文件比对,或许想当然了。不过驱网的也只是勉强谈上原创,是结合了别人的成果弄的,原先好像被人鄙视了一下,哈哈
2006-5-15 16:19
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
以前听说过iceberg的is可以调试,但没拿到程序

现在驱动网上不去,重复劳动了。。

我的方法只是改了几个字节

.text:0001A718                 push    offset dword_30F78
.text:0001A71D                 setnl   cl
.text:0001A720                 push    offset a_edata  ; ".edata"

把0001A71D的内容nop掉就,在把checksum修修正下,把exe里的“ntice”字串改成“nt1ce”收工。。
2006-5-15 16:45
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
...
2006-5-15 18:52
0
雪    币: 220
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
最初由 jskew 发布
以前听说过iceberg的is可以调试,但没拿到程序

现在驱动网上不去,重复劳动了。。

我的方法只是改了几个字节
........

且不说debug驱动了,试试step直到界面出来,这时程序没死掉也不能调了。
你自己不先试试吗?
以前用驱网的调过,累,没坚持住
2006-5-15 19:12
0
雪    币: 208
活跃值: (90)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
要绕过is,你要自己写驱动,有能力自己写驱动,也不屑于为了绕过那个is而写东西了。
2006-5-15 19:51
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
楼上的,我拜你为师吧。。。

我只调试了驱动,

exe没怎么玩,玩这个的重点我觉得应该在驱动部分

2006-5-15 20:29
0
雪    币: 208
活跃值: (90)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
绕过is的方法很多,最简单的,只要你比is更底层就可以了
2006-5-16 09:37
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
1.18版的有人分析吗??
2006-7-4 19:24
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
调这个干什么?
2006-7-4 19:51
0
雪    币: 155
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
关注。。。。。
2006-7-5 21:59
0
雪    币: 214
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
16
有人能总结就好了
2006-7-6 14:57
0
雪    币: 109
活跃值: (498)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
17
http://bbs.zndev.com/htm_data/16/0509/98377.html
2006-7-7 00:11
0
雪    币: 228
活跃值: (119)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
利用了一些个内核未公开的技术,pjf确实功力深厚,注册表监视现在也没人能躲过!
2006-7-15 07:54
0
游客
登录 | 注册 方可回帖
返回
//