[疑问]关于Themida的"API replace"(自己取得名字)。-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 2 楼 Isaiah兄想得很深我的猜想是Themida遇到访问ret范围之外的指令（这里是je short 7C80B6C4）就认为是对另外一个系统函数的调用，就像是 7C80B6AF E8 C0290000 call 7C80E074 一样，对这些"被API调用的API"不做处理请达人指正。 2007-3-14 20:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 3 楼 GetModuleHandleA(0) -> 从PEB取映射地址直接返回了(400000).Isaiah想复杂了另外,如果是shoooo放出keygen前的版本,IAT加密应该是可以避开的之后的版本哪里有?没见过 2007-3-14 21:11 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 4 楼这个ＡＰＩ全部移动到replace的地方执行好象是可以的，但好象不是所有的都行．代码变形时大多都会有这样跳回去的地方，有时候这是没办法的是没有办法的事．归结起来就是有些东西处理起来麻烦，又容易出错，于是只好采用折中的方案了． 2007-3-14 21:23 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 5 楼嗯，了解了。学习了应该是1.8.8.0吧。是np给自己+的。应该是正版吧 v961 有了themida确实给patch带来不少麻烦。不过躲来躲去还是避开了。不知道v97x的np会不会更猛 2007-3-14 22:26 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 6 楼什么游戏的np版本这么高... 还好我没碰到最高到v916........ 2007-3-15 12:33 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 7 楼貌似每个游戏的Np的维护小组都不一样。。版本太乱了。 2007-3-15 12:57 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 8 楼我要是写壳，自己写个系统的dll，多酷 2007-3-15 13:25 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 9 楼那岂不是要带一堆DLL? 每次系统补丁后dll就有可能不一样了 2007-3-15 13:26 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 10 楼 np非核心库部分肯定不是一个小组在维护多看几个gamemon你就会发现类似的版本中处理方式确有多处不同 2007-3-15 23:06 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 11 楼应该是这样的，为了保持兼容性，因为后面的代码可能会涉及到一些初始全局变量的问题这样说吧你可以自己再如winsock2的动态连接库。如果不是由系统载入的而是自己通过初始化输入输出表一般情况下是无法进行任何socket调用的当然只是猜测而已~~哈我也不研究themida 2007-3-17 13:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 2 楼 Isaiah兄想得很深我的猜想是Themida遇到访问ret范围之外的指令（这里是je short 7C80B6C4）就认为是对另外一个系统函数的调用，就像是 7C80B6AF E8 C0290000 call 7C80E074 一样，对这些"被API调用的API"不做处理请达人指正。 2007-3-14 20:57 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 3 楼 GetModuleHandleA(0) -> 从PEB取映射地址直接返回了(400000).Isaiah想复杂了另外,如果是shoooo放出keygen前的版本,IAT加密应该是可以避开的之后的版本哪里有?没见过 2007-3-14 21:11 0
q3 watcher 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 902 粉丝 0 关注私信	q3 watcher 4 楼这个ＡＰＩ全部移动到replace的地方执行好象是可以的，但好象不是所有的都行．代码变形时大多都会有这样跳回去的地方，有时候这是没办法的是没有办法的事．归结起来就是有些东西处理起来麻烦，又容易出错，于是只好采用折中的方案了． 2007-3-14 21:23 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 5 楼嗯，了解了。学习了应该是1.8.8.0吧。是np给自己+的。应该是正版吧 v961 有了themida确实给patch带来不少麻烦。不过躲来躲去还是避开了。不知道v97x的np会不会更猛 2007-3-14 22:26 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 6 楼什么游戏的np版本这么高... 还好我没碰到最高到v916........ 2007-3-15 12:33 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 7 楼貌似每个游戏的Np的维护小组都不一样。。版本太乱了。 2007-3-15 12:57 0
wangshq397 雪币： 277 活跃值： (312) 能力值： ( LV9，RANK：330 ) 在线值：发帖 59 回帖 650 粉丝 0 关注私信	wangshq397 8 8 楼我要是写壳，自己写个系统的dll，多酷 2007-3-15 13:25 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 9 楼那岂不是要带一堆DLL? 每次系统补丁后dll就有可能不一样了 2007-3-15 13:26 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 10 楼 np非核心库部分肯定不是一个小组在维护多看几个gamemon你就会发现类似的版本中处理方式确有多处不同 2007-3-15 23:06 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 11 楼应该是这样的，为了保持兼容性，因为后面的代码可能会涉及到一些初始全局变量的问题这样说吧你可以自己再如winsock2的动态连接库。如果不是由系统载入的而是自己通过初始化输入输出表一般情况下是无法进行任何socket调用的当然只是猜测而已~~哈我也不研究themida 2007-3-17 13:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复