test anti-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

test anti

发表于: 2006-12-22 21:34 11898

test anti

q3 watcher 活跃值

2006-12-22 21:34

11898

把新3.EXE哄出来.
注意请先解压.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

3.rar （51.73kb，33次下载）

收藏・2

免费・7

支持

最新回复 (32) 1 2 ▶
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼不会死机吧?: 2006-12-22 22:09 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 3 楼 3，催化剂！！！ 2006-12-22 22:52 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 4 楼这是个什么东东? 2006-12-22 22:52 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 5 楼最初由 shoooo 发布 3昨天已更新，但是不发了，中间缺个版本这是不是中间缺的版本！！！ 2006-12-22 22:55 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 6 楼 2006-12-22 23:04 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼我的是how are you 2006-12-22 23:08 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 8 楼是这个吗 .386 .model flat, stdcall option casemap :none ; case sensitive include \masm32\include\windows.inc include \masm32\include\user32.inc include \masm32\include\kernel32.inc includelib \masm32\lib\user32.lib includelib \masm32\lib\kernel32.lib .data Alloc dd ? OLDProtect dd 02040001h msgTitle db "Execution status:",0h msgText1 db "No debugger detected!",0h msgText2 db "Debugger detected!",0h .code start: ; MASM32 antiOlly example ; coded by ap0x ; Reversing Labs: http://ap0x.headcoders.net ; The idea is simple. OllyDBG interprets PAGE_GUARD as a ; Memory break-point. If we set SEH and execute PAGE_GUARDed ; code exception will occure. If debugger is present it ; will execute MemBpx and continue executing code after it. ; If debugger is not present handleing will be forwarded to SEH. ; Setup SEH ASSUME FS:NOTHING PUSH offset @Check PUSH FS:[0] MOV FS:[0],ESP ; Allocate new space PUSH PAGE_READWRITE PUSH MEM_COMMIT PUSH 10000h PUSH 0 CALL VirtualAlloc ; Write RET there MOV BYTE PTR[EAX],0C3h MOV DWORD PTR[Alloc],EAX ; Place Memory break-point PUSH offset OLDProtect PUSH PAGE_EXECUTE_READ OR PAGE_GUARD PUSH 00000010h PUSH EAX CALL VirtualProtect ; Execute CALL [Alloc] PUSH 30h PUSH offset msgTitle PUSH offset msgText2 PUSH 0 CALL MessageBox PUSH 0 CALL ExitProcess ; SEH handler @Check: POP FS:[0] ADD ESP,4 PUSH 40h PUSH offset msgTitle PUSH offset msgText1 PUSH 0 CALL MessageBox PUSH 0 CALL ExitProcess end start 2006-12-22 23:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼那个ntkrnl protector也用到了这个东西. 2006-12-22 23:17 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 10 楼 3跟q3是什么关系！？ 2006-12-22 23:23 0
chinaow 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	chinaow 11 楼我的显示OK,点OK以后就没什么了呀!这个到底是干什么用的呀! 2006-12-22 23:26 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 12 楼 HOHO 2006-12-22 23:28 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 13 楼完全搞不定 2006-12-23 00:24 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 14 楼 MS就是softworm说的 2006-12-23 03:05 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼 OK,表示正常;"怎么是你"是在OD中的第一提示,也就是softworm说的,之后大家都会跳过这个;接着会进入由2个ANTI组成的检测,出现"怎么老是你". 正常情况下,只要父进程不对就会被检测出来,而且即使使用了注入也没有用;但在特殊情况下就不好说了,比如有流氓软件或XX驱动的情况下也许会挂,只是我还没遇见. 2006-12-23 07:45 0
xjp 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	xjp 16 楼 !!! 2006-12-23 09:05 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 17 楼用我的CoolDumpper自带的调试器可以跑, OD总是被人狙击. 2006-12-23 11:04 0
windsmile 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	windsmile 18 楼。。我也搞不定。。 2006-12-23 13:05 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 19 楼最初由 skylly* 发布* 用我的CoolDumpper自带的调试器可以跑, OD总是被人狙击. 恩，只要加载方式对就可以。OD是对不了了，一般的LOADLER也对不了，但RORDbg是正确的，要ANTI它的话还要单加代码，又没有多大意义。 2006-12-23 15:10 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 20 楼最初由少爷发布俺的也是这东东 2006-12-23 15:18 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 21 楼最初由 q3 watcher* 发布* 恩，只要加载方式对就可以。OD是对不了了，一般的LOADLER也对不了，但RORDbg是正确的，要ANTI它的话还要单加代码，又没有多大意义。 IDA可以跑,VC的调试器也可以 2006-12-23 18:36 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 22 楼自虐也可以，不幸啊 2006-12-23 19:31 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 23 楼驱动中修改3.exe父进程会怎样呢? 2006-12-23 20:13 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 24 楼看到一些反调试东西象某篇文章提到的程序 2006-12-23 20:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 25 楼最初由 softworm* 发布* IDA可以跑,VC的调试器也可以我最近课设有点小麻烦，没时间做全面测试，暂时就只能现这样了。 2006-12-23 20:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

q3 watcher

发帖

902

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (32) 1 2 ▶
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 2 楼不会死机吧?: 2006-12-22 22:09 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 3 楼 3，催化剂！！！ 2006-12-22 22:52 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 4 楼这是个什么东东? 2006-12-22 22:52 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 5 楼最初由 shoooo 发布 3昨天已更新，但是不发了，中间缺个版本这是不是中间缺的版本！！！ 2006-12-22 22:55 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 6 楼 2006-12-22 23:04 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 7 楼我的是how are you 2006-12-22 23:08 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 8 楼是这个吗 .386 .model flat, stdcall option casemap :none ; case sensitive include \masm32\include\windows.inc include \masm32\include\user32.inc include \masm32\include\kernel32.inc includelib \masm32\lib\user32.lib includelib \masm32\lib\kernel32.lib .data Alloc dd ? OLDProtect dd 02040001h msgTitle db "Execution status:",0h msgText1 db "No debugger detected!",0h msgText2 db "Debugger detected!",0h .code start: ; MASM32 antiOlly example ; coded by ap0x ; Reversing Labs: http://ap0x.headcoders.net ; The idea is simple. OllyDBG interprets PAGE_GUARD as a ; Memory break-point. If we set SEH and execute PAGE_GUARDed ; code exception will occure. If debugger is present it ; will execute MemBpx and continue executing code after it. ; If debugger is not present handleing will be forwarded to SEH. ; Setup SEH ASSUME FS:NOTHING PUSH offset @Check PUSH FS:[0] MOV FS:[0],ESP ; Allocate new space PUSH PAGE_READWRITE PUSH MEM_COMMIT PUSH 10000h PUSH 0 CALL VirtualAlloc ; Write RET there MOV BYTE PTR[EAX],0C3h MOV DWORD PTR[Alloc],EAX ; Place Memory break-point PUSH offset OLDProtect PUSH PAGE_EXECUTE_READ OR PAGE_GUARD PUSH 00000010h PUSH EAX CALL VirtualProtect ; Execute CALL [Alloc] PUSH 30h PUSH offset msgTitle PUSH offset msgText2 PUSH 0 CALL MessageBox PUSH 0 CALL ExitProcess ; SEH handler @Check: POP FS:[0] ADD ESP,4 PUSH 40h PUSH offset msgTitle PUSH offset msgText1 PUSH 0 CALL MessageBox PUSH 0 CALL ExitProcess end start 2006-12-22 23:13 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 9 楼那个ntkrnl protector也用到了这个东西. 2006-12-22 23:17 0
少爷雪币： 51 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 195 粉丝 0 关注私信	少爷 10 楼 3跟q3是什么关系！？ 2006-12-22 23:23 0
chinaow 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 72 粉丝 0 关注私信	chinaow 11 楼我的显示OK,点OK以后就没什么了呀!这个到底是干什么用的呀! 2006-12-22 23:26 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 12 楼 HOHO 2006-12-22 23:28 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 13 楼完全搞不定 2006-12-23 00:24 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 14 楼 MS就是softworm说的 2006-12-23 03:05 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 15 楼 OK,表示正常;"怎么是你"是在OD中的第一提示,也就是softworm说的,之后大家都会跳过这个;接着会进入由2个ANTI组成的检测,出现"怎么老是你". 正常情况下,只要父进程不对就会被检测出来,而且即使使用了注入也没有用;但在特殊情况下就不好说了,比如有流氓软件或XX驱动的情况下也许会挂,只是我还没遇见. 2006-12-23 07:45 0
xjp 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	xjp 16 楼 !!! 2006-12-23 09:05 0
skylly 雪币： 304 活跃值： (82) 能力值： ( LV9，RANK：170 ) 在线值：发帖 70 回帖 1087 粉丝 2 关注私信	skylly 4 17 楼用我的CoolDumpper自带的调试器可以跑, OD总是被人狙击. 2006-12-23 11:04 0
windsmile 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	windsmile 18 楼。。我也搞不定。。 2006-12-23 13:05 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 19 楼最初由 skylly* 发布* 用我的CoolDumpper自带的调试器可以跑, OD总是被人狙击. 恩，只要加载方式对就可以。OD是对不了了，一般的LOADLER也对不了，但RORDbg是正确的，要ANTI它的话还要单加代码，又没有多大意义。 2006-12-23 15:10 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 20 楼最初由少爷发布俺的也是这东东 2006-12-23 15:18 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 21 楼最初由 q3 watcher* 发布* 恩，只要加载方式对就可以。OD是对不了了，一般的LOADLER也对不了，但RORDbg是正确的，要ANTI它的话还要单加代码，又没有多大意义。 IDA可以跑,VC的调试器也可以 2006-12-23 18:36 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 22 楼自虐也可以，不幸啊 2006-12-23 19:31 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 23 楼驱动中修改3.exe父进程会怎样呢? 2006-12-23 20:13 0
ViperDodge 雪币： 257 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 168 粉丝 0 关注私信	ViperDodge 1 24 楼看到一些反调试东西象某篇文章提到的程序 2006-12-23 20:22 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 25 楼最初由 softworm* 发布* IDA可以跑,VC的调试器也可以我最近课设有点小麻烦，没时间做全面测试，暂时就只能现这样了。 2006-12-23 20:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复