能力值:
( LV9,RANK:170 )
2 楼
不会死机吧?:
能力值:
( LV2,RANK:10 )
3 楼
3,催化剂!!!
能力值:
( LV9,RANK:290 )
4 楼
这是个什么东东?
能力值:
( LV2,RANK:10 )
5 楼
最初由 shoooo 发布
3昨天已更新,但是不发了,中间缺个版本
这是不是中间缺的版本!!!
能力值:
( LV2,RANK:10 )
6 楼
能力值:
( LV6,RANK:90 )
7 楼
我的是how are you
能力值:
( LV9,RANK:1210 )
8 楼
是这个吗
.386
.model flat, stdcall
option casemap :none ; case sensitive
include \masm32\include\windows.inc
include \masm32\include\user32.inc
include \masm32\include\kernel32.inc
includelib \masm32\lib\user32.lib
includelib \masm32\lib\kernel32.lib
.data
Alloc dd ?
OLDProtect dd 02040001h
msgTitle db "Execution status:",0h
msgText1 db "No debugger detected!",0h
msgText2 db "Debugger detected!",0h
.code
start:
; MASM32 antiOlly example
; coded by ap0x
; Reversing Labs: http://ap0x.headcoders.net
; The idea is simple. OllyDBG interprets PAGE_GUARD as a
; Memory break-point. If we set SEH and execute PAGE_GUARDed
; code exception will occure. If debugger is present it
; will execute MemBpx and continue executing code after it.
; If debugger is not present handleing will be forwarded to SEH.
; Setup SEH
ASSUME FS:NOTHING
PUSH offset @Check
PUSH FS:[0]
MOV FS:[0],ESP
; Allocate new space
PUSH PAGE_READWRITE
PUSH MEM_COMMIT
PUSH 10000h
PUSH 0
CALL VirtualAlloc
; Write RET there
MOV BYTE PTR[EAX],0C3h
MOV DWORD PTR[Alloc],EAX
; Place Memory break-point
PUSH offset OLDProtect
PUSH PAGE_EXECUTE_READ OR PAGE_GUARD
PUSH 00000010h
PUSH EAX
CALL VirtualProtect
; Execute
CALL [Alloc]
PUSH 30h
PUSH offset msgTitle
PUSH offset msgText2
PUSH 0
CALL MessageBox
PUSH 0
CALL ExitProcess
; SEH handler
@Check:
POP FS:[0]
ADD ESP,4
PUSH 40h
PUSH offset msgTitle
PUSH offset msgText1
PUSH 0
CALL MessageBox
PUSH 0
CALL ExitProcess
end start
能力值:
( LV9,RANK:170 )
9 楼
那个ntkrnl protector也用到了这个东西.
能力值:
( LV2,RANK:10 )
10 楼
3跟q3是什么关系!?
能力值:
( LV2,RANK:10 )
11 楼
我的显示OK,点OK以后就没什么了呀!这个到底是干什么用的呀!
能力值:
( LV6,RANK:90 )
12 楼
能力值:
(RANK:650 )
13 楼
能力值:
( LV13,RANK:410 )
14 楼
MS就是softworm说的
能力值:
( LV2,RANK:10 )
15 楼
OK,表示正常;"怎么是你"是在OD中的第一提示,也就是softworm说的,之后大家都会跳过这个;接着会进入由2个ANTI组成的检测,出现"怎么老是你".
正常情况下,只要父进程不对就会被检测出来,而且即使使用了注入也没有用;但在特殊情况下就不好说了,比如有流氓软件或XX驱动的情况下也许会挂,只是我还没遇见.
能力值:
( LV2,RANK:10 )
16 楼
!!!
能力值:
( LV9,RANK:170 )
17 楼
用我的CoolDumpper自带的调试器可以跑,
OD总是被人狙击.
能力值:
( LV2,RANK:10 )
18 楼
。。我也搞不定。。
能力值:
( LV2,RANK:10 )
19 楼
最初由 skylly 发布 用我的CoolDumpper自带的调试器可以跑, OD总是被人狙击.
恩,只要加载方式对就可以。OD是对不了了,一般的LOADLER也对不了,但RORDbg是正确的,要ANTI它的话还要单加代码,又没有多大意义。
能力值:
( LV2,RANK:10 )
20 楼
能力值:
( LV9,RANK:1210 )
21 楼
最初由 q3 watcher 发布 恩,只要加载方式对就可以。OD是对不了了,一般的LOADLER也对不了,但RORDbg是正确的,要ANTI它的话还要单加代码,又没有多大意义。
IDA可以跑,VC的调试器也可以
能力值:
(RANK:1060 )
22 楼
自虐也可以,不幸啊
能力值:
( LV6,RANK:90 )
23 楼
驱动中修改3.exe父进程会怎样呢?
能力值:
( LV4,RANK:50 )
24 楼
看到一些反调试东西象某篇文章提到的程序
能力值:
( LV2,RANK:10 )
25 楼