首页
社区
课程
招聘
EXECryptor加壳的程序,关掉监控线程之后,开OD还是会被发现?
发表于: 2006-10-24 11:41 4979

EXECryptor加壳的程序,关掉监控线程之后,开OD还是会被发现?

2006-10-24 11:41
4979
在Unpack.cn上发了几天,好像还没被脱掉,转到这里来试试。
程序是我自己用MFC写的,没有用EXECryptor的SDK。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (14)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
难道是EXECryptor的Bug造成的?
同样的文件,用同样的Project文件再加了一次,这次却没有这么强的功能了?
2006-10-24 11:50
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
3
Exec不用SDK,就10分钟
2006-10-24 12:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
最初由 Isaiah 发布
Exec不用SDK,就10分钟


计时中...
2006-10-24 12:29
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
5
2006-10-24 12:31
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
6
Oep,大概就在这一块
00401D58  - FF25 C0214000   JMP NEAR DWORD PTR DS:[4021C0]           ; msvcrt.__CxxFrameHandler
00401D5E    CC              INT3
00401D5F    CC              INT3
00401D60  - E9 ABCE0100     JMP Test01_n.0041EC10
00401D65    870424          XCHG DWORD PTR SS:[ESP],EAX
00401D68    58              POP EAX
00401D69    53              PUSH EBX
00401D6A  - E9 91420000     JMP Test01_n.00406000
00401D6F    867C07 87       XCHG BYTE PTR DS:[EDI+EAX-79],BH
00401D73    3B79 50         CMP EDI,DWORD PTR DS:[ECX+50]
00401D76    64:8925 0000000>MOV DWORD PTR FS:[0],ESP
00401D7D    83EC 68         SUB ESP,68
00401D80    53              PUSH EBX
00401D81    56              PUSH ESI
00401D82    57              PUSH EDI
00401D83    8965 E8         MOV DWORD PTR SS:[EBP-18],ESP
00401D86    33DB            XOR EBX,EBX
00401D88    895D FC         MOV DWORD PTR SS:[EBP-4],EBX
00401D8B    6A 02           PUSH 2
00401D8D    FF15 AC214000   CALL NEAR DWORD PTR DS:[4021AC]          ; msvcrt.__set_app_type

没有mfc参考,就不修复了

输入表只有几项加密了
2006-10-24 12:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这个是没加壳的
上传的附件:
2006-10-24 12:46
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
我只是奇怪,为什么杀了监控线程之后,开OD一样会提示发现Debugger呢?
2006-10-24 12:48
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
9
不知lz发此贴的目的是?
测试强度?
2006-10-24 12:49
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
10
See See See
2006-10-24 12:52
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
11
可能是你没kill all
2006-10-24 12:53
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
最初由 Isaiah 发布
不知lz发此贴的目的是?
测试强度?


此其一,
还有一个就是如标题所写。
杀掉2个监控线程之后,再开OD仍然会被发现。
这个奇怪的现象只限于这个加壳之后的文件,相同的程序用相同的参数再加壳就没有这种现象了。
2006-10-24 12:54
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
最初由 Isaiah 发布
可能是你没kill all


可以肯定的是,杀的只剩下一个主线程了。
或者我的系统有问题?
2006-10-24 12:56
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
14
在我这里,你描述的问题没有出现。可能是我RPWT
2006-10-24 12:56
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我的是Win2K+SP4
刚观测到的现象,原来是监控线程杀了还会再生。
不明白的是,我用同一个Project加出来的别的程序却不会。
2006-10-24 13:10
0
游客
登录 | 注册 方可回帖
返回
//