首页
社区
课程
招聘
关于xprotect 1.07demo
发表于: 2004-7-11 15:06 6690

关于xprotect 1.07demo

syy 活跃值
1
2004-7-11 15:06
6690
我跟踪了一下xprotect 1.07demo
见到主程序后
运行时不管有没有跟踪软件在运行
主程序界面停留几秒后就自动关闭了
谁知道为什么
请赐教

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 2
支持
分享
最新回复 (16)
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
2
估计是你恢复了IDT,被thread检测到了
2004-7-11 15:16
0
雪    币: 212
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
我还没能恢复IDT
因为程序中部分api用自己的函数代替了
利用waitforsingleobject的thread解码我过去了
但有两部分没明白
程序将一部分代码写入vxd
这部分代码与2A0016 2A0017 2A0040 2A001B有关

另外MsgWaitForMultiObject的解码部分没看明白

请大家指点一下是否与此有关
2004-7-11 15:25
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
thread没有停下吧?解码之后还要监视
2004-7-11 15:31
0
雪    币: 212
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
最初的16个thread中没有反跟踪代码
后面生成的没细看(中间的垃圾指令太多,去掉又会影响chechsum)

但不开跟踪器同样关闭,不知道为什么?

后面的代码还得一行一行看了
痛苦:(
2004-7-11 15:40
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
6
最初由 syy 发布
最初的16个thread中没有反跟踪代码
后面生成的没细看(中间的垃圾指令太多,去掉又会影响chechsum)

但不开跟踪器同样关闭,不知道为什么?

后面的代码还得一行一行看了
痛苦:(

那么长的代码一行行看,佩服!五体投地了
2004-7-11 15:53
0
雪    币: 212
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
用了一下午时间,这个问题总算解决了

程序hook了kernel32 bff881d5
使他指向一段反跟踪程序

谁知道win98的bff881d5是个什么函数?
2004-7-11 21:16
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
8
用kongfoo的api地址专家看一下。确定是api?
2004-7-11 23:02
0
雪    币: 371
活跃值: (790)
能力值: ( LV12,RANK:570 )
在线值:
发帖
回帖
粉丝
9
我在一台98的机看了一下:
BFF881D3    FF75 08         PUSH DWORD PTR SS:[EBP+8]
BFF881D6    8B7D 0C         MOV EDI,DWORD PTR SS:[EBP+C]
BFF881D9    57              PUSH EDI
BFF881DA    FF75 10         PUSH DWORD PTR SS:[EBP+10]
2004-7-12 08:03
0
雪    币: 208
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
10
跟踪xprotect,用什么,环境是什么?
2004-7-12 11:07
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
11
最初由 mYeXcKsN 发布
跟踪xprotect,用什么,环境是什么?

应该是虚拟机。
2004-7-12 11:21
0
雪    币: 208
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
12
强烈建议syy 详细说明方法和过程,只有这样的帖才是最牛的。
要练技术,就要对付xprotect.,建议斑竹号召大家参与。
2004-7-13 09:06
0
雪    币: 212
活跃值: (55)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
不怕大家笑话,我是一行一行代码跟踪的
trw2000+win98+c++编程
用了两个月的业余时间,目前只能在有反跟踪软件的情况下看到主界面
FILE菜单还不能用

对付int3 dr0 multi-thread反跟踪比较简单
但多的可怕
不算XPROT断中的,只是主程序中多线程解码就用了160个(解密`再加密各一半)
找出特征码,写一段程序统一对付一下就可以了

但vxd反跟踪\代码patch我还对付不了
VXD反跟踪十分讨厌,随时会死机

另外API wrapped太强了,用到了他本身的加密引擎,比hying的强大的多
他将部分API代码写到内存中,分析代码,然后插入大量的垃圾代码
代码不算太长,只有几十K,很有意思,但还没看懂:(

有谁跟过这个程序,大家讨论一下
2004-7-13 21:35
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
14
飞叶在虚拟机跟,Anti已经不是问题了。逆向分析引擎太可怕。
2004-7-13 21:42
0
雪    币: 208
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
15
最初由 forgot 发布
飞叶在虚拟机跟,Anti已经不是问题了。逆向分析引擎太可怕。


如何虚拟?
2004-7-16 09:16
0
雪    币: 208
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
16
[QUOTE]最初由 syy 发布
不怕大家笑话,我是一行一行代码跟踪的
trw2000+win98+c++编程

但vxd反跟踪\代码patch我还对付不了
VXD反跟踪十分讨厌,随时会死机

原则上讲,可以用trw2000 就应该可以用softice,不知是否可以用softice?
2004-7-16 09:18
0
雪    币: 203
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
各位真牛,佩服。我连反跟踪怎么解决都不知道。
2004-7-16 10:21
0
游客
登录 | 注册 方可回帖
返回
//