能力值:
![]()
(RANK:1060 )
|
-
-
2 楼
估计是你恢复了IDT,被thread检测到了
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
我还没能恢复IDT
因为程序中部分api用自己的函数代替了
利用waitforsingleobject的thread解码我过去了
但有两部分没明白
程序将一部分代码写入vxd
这部分代码与2A0016 2A0017 2A0040 2A001B有关
另外MsgWaitForMultiObject的解码部分没看明白
请大家指点一下是否与此有关
|
能力值:
![]()
(RANK:1060 )
|
-
-
4 楼
thread没有停下吧?解码之后还要监视
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
最初的16个thread中没有反跟踪代码
后面生成的没细看(中间的垃圾指令太多,去掉又会影响chechsum)
但不开跟踪器同样关闭,不知道为什么?
后面的代码还得一行一行看了
痛苦:(
|
能力值:
![]()
(RANK:1060 )
|
-
-
6 楼
最初由 syy 发布
最初的16个thread中没有反跟踪代码
后面生成的没细看(中间的垃圾指令太多,去掉又会影响chechsum)
但不开跟踪器同样关闭,不知道为什么?
后面的代码还得一行一行看了
痛苦:(
那么长的代码一行行看,佩服!五体投地了
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
用了一下午时间,这个问题总算解决了
程序hook了kernel32 bff881d5
使他指向一段反跟踪程序
谁知道win98的bff881d5是个什么函数?
|
能力值:
![]()
(RANK:1060 )
|
-
-
8 楼
用kongfoo的api地址专家看一下。确定是api?
|
能力值:
( LV12,RANK:570 )
|
-
-
9 楼
我在一台98的机看了一下:
BFF881D3 FF75 08 PUSH DWORD PTR SS:[EBP+8]
BFF881D6 8B7D 0C MOV EDI,DWORD PTR SS:[EBP+C]
BFF881D9 57 PUSH EDI
BFF881DA FF75 10 PUSH DWORD PTR SS:[EBP+10]
|
能力值:
![]()
(RANK:10 )
|
-
-
10 楼
跟踪xprotect,用什么,环境是什么?
|
能力值:
![]()
(RANK:1060 )
|
-
-
11 楼
最初由 mYeXcKsN 发布
跟踪xprotect,用什么,环境是什么?
应该是虚拟机。
|
能力值:
![]()
(RANK:10 )
|
-
-
12 楼
强烈建议syy 详细说明方法和过程,只有这样的帖才是最牛的。
要练技术,就要对付xprotect.,建议斑竹号召大家参与。
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
不怕大家笑话,我是一行一行代码跟踪的
trw2000+win98+c++编程
用了两个月的业余时间,目前只能在有反跟踪软件的情况下看到主界面
FILE菜单还不能用
对付int3 dr0 multi-thread反跟踪比较简单
但多的可怕
不算XPROT断中的,只是主程序中多线程解码就用了160个(解密`再加密各一半)
找出特征码,写一段程序统一对付一下就可以了
但vxd反跟踪\代码patch我还对付不了
VXD反跟踪十分讨厌,随时会死机
另外API wrapped太强了,用到了他本身的加密引擎,比hying的强大的多
他将部分API代码写到内存中,分析代码,然后插入大量的垃圾代码
代码不算太长,只有几十K,很有意思,但还没看懂:(
有谁跟过这个程序,大家讨论一下
|
能力值:
![]()
(RANK:1060 )
|
-
-
14 楼
飞叶在虚拟机跟,Anti已经不是问题了。逆向分析引擎太可怕。
|
能力值:
![]()
(RANK:10 )
|
-
-
15 楼
最初由 forgot 发布
飞叶在虚拟机跟,Anti已经不是问题了。逆向分析引擎太可怕。
如何虚拟?
|
能力值:
![]()
(RANK:10 )
|
-
-
16 楼
[QUOTE]最初由 syy 发布
不怕大家笑话,我是一行一行代码跟踪的
trw2000+win98+c++编程
但vxd反跟踪\代码patch我还对付不了
VXD反跟踪十分讨厌,随时会死机
原则上讲,可以用trw2000 就应该可以用softice,不知是否可以用softice?
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
各位真牛,佩服。我连反跟踪怎么解决都不知道。
|
|
|
|
