可以在softice下跑的icesword.v1.12-资源下载-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 2006-5-11 12:57 2 楼 0 DING!!!
poppig 雪币： 196 活跃值： (1078) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 156 粉丝 1 关注私信	poppig 2 2006-5-11 14:04 3 楼 0 楼主能够写篇文章就好了，如何绕过...
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 15:40 4 楼 0 最初由 jskew* 发布* anti-antidebug 以前想anti-icesword的检测，搞了一个可以在softice下跑的icesword，看到作者忙于频繁更新，但bug越来越多看了说明，才知道是加强antidebug，功能没升级。失望。。 ........ 早就在驱网上看到了，转发不贴出处？我有点失望的是作者现在不愿意多为IceSword多花精力，更新很少太慢。难道没有利益的程序最后都会这样？ “功能没升级”，pjf在blog上是说没怎么改，不过就我对一些rootkit（像Futo_enhance）的测试结果看，或许像pjf说的改动“小”，但绝对有修改，小不小我说不出，有能的人分析一下给我们说说
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 2006-5-15 16:02 5 楼 0 不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 16:19 6 楼 0 最初由 jskew* 发布* 不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看怎么驱网现在上不了，google一下“可调试的IceSword”，第一条就是，有几个月了。没有下载你的文件比对，或许想当然了。不过驱网的也只是勉强谈上原创，是结合了别人的成果弄的，原先好像被人鄙视了一下，哈哈
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 2006-5-15 16:45 7 楼 0 以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 .text:0001A718 push offset dword_30F78 .text:0001A71D setnl cl .text:0001A720 push offset a_edata ; ".edata" 把0001A71D的内容nop掉就，在把checksum修修正下，把exe里的“ntice”字串改成“nt1ce”收工。。
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 18:52 8 楼 0 ...
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 19:12 9 楼 0 最初由 jskew* 发布* 以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 ........ 且不说debug驱动了，试试step直到界面出来，这时程序没死掉也不能调了。你自己不先试试吗？以前用驱网的调过，累，没坚持住
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 2006-5-15 19:51 10 楼 0 要绕过is,你要自己写驱动，有能力自己写驱动，也不屑于为了绕过那个is而写东西了。
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 2006-5-15 20:29 11 楼 0 楼上的，我拜你为师吧。。。我只调试了驱动， exe没怎么玩，玩这个的重点我觉得应该在驱动部分
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 2006-5-16 09:37 12 楼 0 绕过is的方法很多，最简单的，只要你比is更底层就可以了
泱泱丸子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	泱泱丸子 2006-7-4 19:24 13 楼 0 1.18版的有人分析吗？？
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2006-7-4 19:51 14 楼 0 调这个干什么？
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	lsjf 2006-7-5 21:59 15 楼 0 关注。。。。。
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 2006-7-6 14:57 16 楼 0 有人能总结就好了
cater 雪币： 109 活跃值： (383) 能力值： ( LV12，RANK：220 ) 在线值：发帖 57 回帖 412 粉丝 2 关注私信	cater 5 2006-7-7 00:11 17 楼 0 http://bbs.zndev.com/htm_data/16/0509/98377.html
machoman 雪币： 228 活跃值： (114) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 214 粉丝 0 关注私信	machoman 1 2006-7-15 07:54 18 楼 0 利用了一些个内核未公开的技术,pjf确实功力深厚,注册表监视现在也没人能躲过!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (17)
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 2006-5-11 12:57 2 楼 0 DING!!!
poppig 雪币： 196 活跃值： (1078) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 156 粉丝 1 关注私信	poppig 2 2006-5-11 14:04 3 楼 0 楼主能够写篇文章就好了，如何绕过...
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 15:40 4 楼 0 最初由 jskew* 发布* anti-antidebug 以前想anti-icesword的检测，搞了一个可以在softice下跑的icesword，看到作者忙于频繁更新，但bug越来越多看了说明，才知道是加强antidebug，功能没升级。失望。。 ........ 早就在驱网上看到了，转发不贴出处？我有点失望的是作者现在不愿意多为IceSword多花精力，更新很少太慢。难道没有利益的程序最后都会这样？ “功能没升级”，pjf在blog上是说没怎么改，不过就我对一些rootkit（像Futo_enhance）的测试结果看，或许像pjf说的改动“小”，但绝对有修改，小不小我说不出，有能的人分析一下给我们说说
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 2006-5-15 16:02 5 楼 0 不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 16:19 6 楼 0 最初由 jskew* 发布* 不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看怎么驱网现在上不了，google一下“可调试的IceSword”，第一条就是，有几个月了。没有下载你的文件比对，或许想当然了。不过驱网的也只是勉强谈上原创，是结合了别人的成果弄的，原先好像被人鄙视了一下，哈哈
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 2006-5-15 16:45 7 楼 0 以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 .text:0001A718 push offset dword_30F78 .text:0001A71D setnl cl .text:0001A720 push offset a_edata ; ".edata" 把0001A71D的内容nop掉就，在把checksum修修正下，把exe里的“ntice”字串改成“nt1ce”收工。。
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 18:52 8 楼 0 ...
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 2006-5-15 19:12 9 楼 0 最初由 jskew* 发布* 以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 ........ 且不说debug驱动了，试试step直到界面出来，这时程序没死掉也不能调了。你自己不先试试吗？以前用驱网的调过，累，没坚持住
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 2006-5-15 19:51 10 楼 0 要绕过is,你要自己写驱动，有能力自己写驱动，也不屑于为了绕过那个is而写东西了。
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 2006-5-15 20:29 11 楼 0 楼上的，我拜你为师吧。。。我只调试了驱动， exe没怎么玩，玩这个的重点我觉得应该在驱动部分
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 2006-5-16 09:37 12 楼 0 绕过is的方法很多，最简单的，只要你比is更底层就可以了
泱泱丸子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	泱泱丸子 2006-7-4 19:24 13 楼 0 1.18版的有人分析吗？？
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 2006-7-4 19:51 14 楼 0 调这个干什么？
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	lsjf 2006-7-5 21:59 15 楼 0 关注。。。。。
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 2006-7-6 14:57 16 楼 0 有人能总结就好了
cater 雪币： 109 活跃值： (383) 能力值： ( LV12，RANK：220 ) 在线值：发帖 57 回帖 412 粉丝 2 关注私信	cater 5 2006-7-7 00:11 17 楼 0 http://bbs.zndev.com/htm_data/16/0509/98377.html
machoman 雪币： 228 活跃值： (114) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 214 粉丝 0 关注私信	machoman 1 2006-7-15 07:54 18 楼 0 利用了一些个内核未公开的技术,pjf确实功力深厚,注册表监视现在也没人能躲过!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复