能力值:
( LV2,RANK:10 )
|
-
-
2 楼
DING!!!
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
楼主能够写篇文章就好了,如何绕过...
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
最初由 jskew 发布 anti-antidebug
以前想anti-icesword的检测,搞了一个可以在softice下跑的icesword,看到作者忙于频繁更新,但bug越来越多
看了说明,才知道是加强antidebug,功能没升级。失望。。 ........
早就在驱网上看到了,转发不贴出处?
我有点失望的是作者现在不愿意多为IceSword多花精力,更新很少太慢。难道没有利益的程序最后都会这样?
“功能没升级”,pjf在blog上是说没怎么改,不过就我对一些rootkit(像Futo_enhance)的测试结果看,或许像pjf说的改动“小”,但绝对有修改,小不小我说不出,有能的人分析一下给我们说说
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
不好意思哦,这是原创的
你说的原帖在那里,给个连接,我去看看
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
最初由 jskew 发布 不好意思哦,这是原创的
你说的原帖在那里,给个连接,我去看看
怎么驱网现在上不了,google一下“可调试的IceSword”,第一条就是,有几个月了。
没有下载你的文件比对,或许想当然了。不过驱网的也只是勉强谈上原创,是结合了别人的成果弄的,原先好像被人鄙视了一下,哈哈
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
以前听说过iceberg的is可以调试,但没拿到程序
现在驱动网上不去,重复劳动了。。
我的方法只是改了几个字节
.text:0001A718 push offset dword_30F78
.text:0001A71D setnl cl
.text:0001A720 push offset a_edata ; ".edata"
把0001A71D的内容nop掉就,在把checksum修修正下,把exe里的“ntice”字串改成“nt1ce”收工。。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
...
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
最初由 jskew 发布 以前听说过iceberg的is可以调试,但没拿到程序
现在驱动网上不去,重复劳动了。。
我的方法只是改了几个字节 ........
且不说debug驱动了,试试step直到界面出来,这时程序没死掉也不能调了。
你自己不先试试吗?
以前用驱网的调过,累,没坚持住
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
要绕过is,你要自己写驱动,有能力自己写驱动,也不屑于为了绕过那个is而写东西了。
|
能力值:
( LV4,RANK:50 )
|
-
-
11 楼
楼上的,我拜你为师吧。。。
我只调试了驱动,
exe没怎么玩,玩这个的重点我觉得应该在驱动部分
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
绕过is的方法很多,最简单的,只要你比is更底层就可以了
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
1.18版的有人分析吗??
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
调这个干什么?
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
关注。。。。。
|
能力值:
( LV6,RANK:90 )
|
-
-
16 楼
有人能总结就好了
|
能力值:
( LV12,RANK:220 )
|
-
-
17 楼
http://bbs.zndev.com/htm_data/16/0509/98377.html
|
能力值:
( LV4,RANK:50 )
|
-
-
18 楼
利用了一些个内核未公开的技术,pjf确实功力深厚,注册表监视现在也没人能躲过!
|
|
|