可以在softice下跑的icesword.v1.12-安全工具-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 2 楼 DING!!! 2006-5-11 12:57 0
poppig 雪币： 193 活跃值： (1379) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 3 楼楼主能够写篇文章就好了，如何绕过... 2006-5-11 14:04 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 4 楼最初由 jskew* 发布* anti-antidebug 以前想anti-icesword的检测，搞了一个可以在softice下跑的icesword，看到作者忙于频繁更新，但bug越来越多看了说明，才知道是加强antidebug，功能没升级。失望。。 ........ 早就在驱网上看到了，转发不贴出处？我有点失望的是作者现在不愿意多为IceSword多花精力，更新很少太慢。难道没有利益的程序最后都会这样？ “功能没升级”，pjf在blog上是说没怎么改，不过就我对一些rootkit（像Futo_enhance）的测试结果看，或许像pjf说的改动“小”，但绝对有修改，小不小我说不出，有能的人分析一下给我们说说 2006-5-15 15:40 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 5 楼不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看 2006-5-15 16:02 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 6 楼最初由 jskew* 发布* 不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看怎么驱网现在上不了，google一下“可调试的IceSword”，第一条就是，有几个月了。没有下载你的文件比对，或许想当然了。不过驱网的也只是勉强谈上原创，是结合了别人的成果弄的，原先好像被人鄙视了一下，哈哈 2006-5-15 16:19 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 7 楼以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 .text:0001A718 push offset dword_30F78 .text:0001A71D setnl cl .text:0001A720 push offset a_edata ; ".edata" 把0001A71D的内容nop掉就，在把checksum修修正下，把exe里的“ntice”字串改成“nt1ce”收工。。 2006-5-15 16:45 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 8 楼 ... 2006-5-15 18:52 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 9 楼最初由 jskew* 发布* 以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 ........ 且不说debug驱动了，试试step直到界面出来，这时程序没死掉也不能调了。你自己不先试试吗？以前用驱网的调过，累，没坚持住 2006-5-15 19:12 0
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 10 楼要绕过is,你要自己写驱动，有能力自己写驱动，也不屑于为了绕过那个is而写东西了。 2006-5-15 19:51 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 11 楼楼上的，我拜你为师吧。。。我只调试了驱动， exe没怎么玩，玩这个的重点我觉得应该在驱动部分 2006-5-15 20:29 0
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 12 楼绕过is的方法很多，最简单的，只要你比is更底层就可以了 2006-5-16 09:37 0
泱泱丸子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	泱泱丸子 13 楼 1.18版的有人分析吗？？ 2006-7-4 19:24 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼调这个干什么？ 2006-7-4 19:51 0
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	lsjf 15 楼关注。。。。。 2006-7-5 21:59 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 16 楼有人能总结就好了 2006-7-6 14:57 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼 http://bbs.zndev.com/htm_data/16/0509/98377.html 2006-7-7 00:11 0
machoman 雪币： 228 活跃值： (119) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 214 粉丝 0 关注私信	machoman 1 18 楼利用了一些个内核未公开的技术,pjf确实功力深厚,注册表监视现在也没人能躲过! 2006-7-15 07:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
dINO 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 587 粉丝 1 关注私信	dINO 2 楼 DING!!! 2006-5-11 12:57 0
poppig 雪币： 193 活跃值： (1379) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 3 楼楼主能够写篇文章就好了，如何绕过... 2006-5-11 14:04 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 4 楼最初由 jskew* 发布* anti-antidebug 以前想anti-icesword的检测，搞了一个可以在softice下跑的icesword，看到作者忙于频繁更新，但bug越来越多看了说明，才知道是加强antidebug，功能没升级。失望。。 ........ 早就在驱网上看到了，转发不贴出处？我有点失望的是作者现在不愿意多为IceSword多花精力，更新很少太慢。难道没有利益的程序最后都会这样？ “功能没升级”，pjf在blog上是说没怎么改，不过就我对一些rootkit（像Futo_enhance）的测试结果看，或许像pjf说的改动“小”，但绝对有修改，小不小我说不出，有能的人分析一下给我们说说 2006-5-15 15:40 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 5 楼不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看 2006-5-15 16:02 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 6 楼最初由 jskew* 发布* 不好意思哦，这是原创的你说的原帖在那里，给个连接，我去看看怎么驱网现在上不了，google一下“可调试的IceSword”，第一条就是，有几个月了。没有下载你的文件比对，或许想当然了。不过驱网的也只是勉强谈上原创，是结合了别人的成果弄的，原先好像被人鄙视了一下，哈哈 2006-5-15 16:19 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 7 楼以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 .text:0001A718 push offset dword_30F78 .text:0001A71D setnl cl .text:0001A720 push offset a_edata ; ".edata" 把0001A71D的内容nop掉就，在把checksum修修正下，把exe里的“ntice”字串改成“nt1ce”收工。。 2006-5-15 16:45 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 8 楼 ... 2006-5-15 18:52 0
guoke 雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 73 粉丝 0 关注私信	guoke 9 楼最初由 jskew* 发布* 以前听说过iceberg的is可以调试，但没拿到程序现在驱动网上不去，重复劳动了。。我的方法只是改了几个字节 ........ 且不说debug驱动了，试试step直到界面出来，这时程序没死掉也不能调了。你自己不先试试吗？以前用驱网的调过，累，没坚持住 2006-5-15 19:12 0
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 10 楼要绕过is,你要自己写驱动，有能力自己写驱动，也不屑于为了绕过那个is而写东西了。 2006-5-15 19:51 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 11 楼楼上的，我拜你为师吧。。。我只调试了驱动， exe没怎么玩，玩这个的重点我觉得应该在驱动部分 2006-5-15 20:29 0
ffsj 雪币： 208 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	ffsj 12 楼绕过is的方法很多，最简单的，只要你比is更底层就可以了 2006-5-16 09:37 0
泱泱丸子雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	泱泱丸子 13 楼 1.18版的有人分析吗？？ 2006-7-4 19:24 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 14 楼调这个干什么？ 2006-7-4 19:51 0
lsjf 雪币： 155 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	lsjf 15 楼关注。。。。。 2006-7-5 21:59 0
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 16 楼有人能总结就好了 2006-7-6 14:57 0
cater 雪币： 109 活跃值： (483) 能力值： ( LV12，RANK：220 ) 在线值：发帖 58 回帖 415 粉丝 3 关注私信	cater 5 17 楼 http://bbs.zndev.com/htm_data/16/0509/98377.html 2006-7-7 00:11 0
machoman 雪币： 228 活跃值： (119) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 214 粉丝 0 关注私信	machoman 1 18 楼利用了一些个内核未公开的技术,pjf确实功力深厚,注册表监视现在也没人能躲过! 2006-7-15 07:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复