首页
社区
课程
招聘
test anti
发表于: 2006-12-22 21:34 12005

test anti

2006-12-22 21:34
12005
收藏
免费 7
支持
分享
最新回复 (32)
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
2
不会死机吧?:
2006-12-22 22:09
0
雪    币: 51
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
3,催化剂!!!
2006-12-22 22:52
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
4
这是个什么东东?
2006-12-22 22:52
0
雪    币: 51
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
最初由 shoooo 发布
3昨天已更新,但是不发了,中间缺个版本
这是不是中间缺的版本!!!
2006-12-22 22:55
0
雪    币: 51
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
2006-12-22 23:04
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
我的是how are you
2006-12-22 23:08
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
8
是这个吗

    .386
      .model flat, stdcall
      option casemap :none   ; case sensitive

      include \masm32\include\windows.inc
      include \masm32\include\user32.inc
      include \masm32\include\kernel32.inc

      includelib \masm32\lib\user32.lib
      includelib \masm32\lib\kernel32.lib

    .data
        Alloc dd ?
        OLDProtect dd 02040001h
        msgTitle db "Execution status:",0h
        msgText1 db "No debugger detected!",0h
        msgText2 db "Debugger detected!",0h
    .code

start:

;        MASM32         antiOlly example
;                        coded by ap0x
;                        Reversing Labs: http://ap0x.headcoders.net

;        The idea is simple. OllyDBG interprets PAGE_GUARD as a
;        Memory break-point. If we set SEH and execute PAGE_GUARDed
;        code exception will occure. If debugger is present it
;        will execute MemBpx and continue executing code after it.
;        If debugger is not present handleing will be forwarded to SEH.

;        Setup SEH

        ASSUME FS:NOTHING
        PUSH offset @Check
        PUSH FS:[0]
        MOV FS:[0],ESP

;        Allocate new space

        PUSH PAGE_READWRITE
        PUSH MEM_COMMIT
        PUSH 10000h
        PUSH 0
        CALL VirtualAlloc

;        Write RET there
        MOV BYTE PTR[EAX],0C3h
        MOV DWORD PTR[Alloc],EAX

;        Place Memory break-point
        PUSH offset OLDProtect
        PUSH PAGE_EXECUTE_READ OR PAGE_GUARD
        PUSH 00000010h
        PUSH EAX
        CALL VirtualProtect

;        Execute
        CALL [Alloc]

        PUSH 30h
        PUSH offset msgTitle
        PUSH offset msgText2
        PUSH 0
        CALL MessageBox

        PUSH 0
        CALL ExitProcess

;        SEH handler
@Check:
        POP FS:[0]
        ADD ESP,4

        PUSH 40h
        PUSH offset msgTitle
        PUSH offset msgText1
        PUSH 0
        CALL MessageBox

        PUSH 0
        CALL ExitProcess

end start
2006-12-22 23:13
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
9
那个ntkrnl protector也用到了这个东西.
2006-12-22 23:17
0
雪    币: 51
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
3跟q3是什么关系!?
2006-12-22 23:23
0
雪    币: 50
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
我的显示OK,点OK以后就没什么了呀!这个到底是干什么用的呀!
2006-12-22 23:26
0
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
HOHO
2006-12-22 23:28
0
雪    币: 398
活跃值: (343)
能力值: (RANK:650 )
在线值:
发帖
回帖
粉丝
13
完全搞不定
2006-12-23 00:24
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
14
MS就是softworm说的
2006-12-23 03:05
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
OK,表示正常;"怎么是你"是在OD中的第一提示,也就是softworm说的,之后大家都会跳过这个;接着会进入由2个ANTI组成的检测,出现"怎么老是你".
正常情况下,只要父进程不对就会被检测出来,而且即使使用了注入也没有用;但在特殊情况下就不好说了,比如有流氓软件或XX驱动的情况下也许会挂,只是我还没遇见.
2006-12-23 07:45
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xjp
16
!!!
2006-12-23 09:05
0
雪    币: 304
活跃值: (82)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
17
用我的CoolDumpper自带的调试器可以跑,
OD总是被人狙击.
2006-12-23 11:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
。。我也搞不定。。
2006-12-23 13:05
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
最初由 skylly 发布
用我的CoolDumpper自带的调试器可以跑,
OD总是被人狙击.

恩,只要加载方式对就可以。OD是对不了了,一般的LOADLER也对不了,但RORDbg是正确的,要ANTI它的话还要单加代码,又没有多大意义。
2006-12-23 15:10
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
最初由 少爷 发布

俺的也是这东东
2006-12-23 15:18
0
雪    币: 494
活跃值: (629)
能力值: ( LV9,RANK:1210 )
在线值:
发帖
回帖
粉丝
21
最初由 q3 watcher 发布
恩,只要加载方式对就可以。OD是对不了了,一般的LOADLER也对不了,但RORDbg是正确的,要ANTI它的话还要单加代码,又没有多大意义。


IDA可以跑,VC的调试器也可以
2006-12-23 18:36
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
22
自虐也可以,不幸啊
2006-12-23 19:31
0
雪    币: 233
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
23
驱动中修改3.exe父进程会怎样呢?
2006-12-23 20:13
0
雪    币: 257
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
  看到一些反调试东西象某篇文章提到的程序
2006-12-23 20:22
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
最初由 softworm 发布
IDA可以跑,VC的调试器也可以

我最近课设有点小麻烦,没时间做全面测试,暂时就只能现这样了。
2006-12-23 20:24
0
游客
登录 | 注册 方可回帖
返回
//