一段邪恶代码……-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 1 楼一段邪恶的代码…… 一段血淋淋的声讨…… 一段惨痛的历史…… 不知道这段代码在哪些系统中起作用…… 请作者站出来为自己惨绝人寰的兽行辩护，向广大遭受非人待遇的受害者作出赔偿:D 同时也请行家站出来为大家指明事情的真相 0042F6FD 0F014C24 FE SIDT FWORD PTR SS:[ESP-2] 0042F702 5E POP ESI 0042F703 66:8B46 18 MOV AX,WORD PTR DS:[ESI+18] 0042F707 66:8B5E 1E MOV BX,WORD PTR DS:[ESI+1E] 0042F70B 66:8985 3027400>MOV WORD PTR SS:[EBP+402730],AX 0042F712 66:899D 3227400>MOV WORD PTR SS:[EBP+402732],BX 0042F719 33C0 XOR EAX,EAX 0042F71B 66:8946 18 MOV WORD PTR DS:[ESI+18],AX 0042F71F C1E8 10 SHR EAX,10 0042F722 66:8946 1E MOV WORD PTR DS:[ESI+1E],AX 0042F726 61 POPAD 0042F727 5C POP ESP 0042F728 8D85 38274000 LEA EAX,DWORD PTR SS:[EBP+402738] 0042F72E 50 PUSH EAX 0042F72F CF IRETD 2004-9-2 17:36 0
getiteasy 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 224 粉丝 1 关注私信	getiteasy 2 楼好像就是修改INT3向量吧，可能是幻影里面用得最多的手段。:( 2004-9-2 18:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 cyclotron 中招了？ 2004-9-2 19:28 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 4 楼最初由 fly 发布 cyclotron 中招了？还不是那个XXXXX和XXXXXX的修改版，找到了这段代码，但是不知如何躲过，用Olly跟踪什么也不改，走到最后IDT也会被修改，接着就只有受害了，2k下没有IDT备份工具，每调试一次就要手动重启，不知道在虚拟机里调试会不会重启主机……:( 2004-9-2 19:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 forgot修改的telock XXX？这个东东已经脱过了不要使用普通断点就不会死机了 2004-9-2 19:59 0
wangshy 雪币： 446 活跃值： (723) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 6 楼我是用F4走到入口的~!:D 2004-9-2 20:13 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 7 楼我没下任何断点，只是用Olly把所有异常过了一遍，中间花了点时间把关键代码复制下来，最后会CRC校验出错，然后提醒我清除所有断点，否则……这个时候IDT已经被破坏了另外想研究一下这些邪恶代码:D 不会是INT 3入口地址被清零就导致重启了吧？如果用VMware的话还会不会重启主机？奇怪的是，forgot 居然没有在seh中清零Drx吗？ 2004-9-2 20:17 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 8 楼最初由 cyclotron 发布奇怪的是，forgot 居然没有在seh中清零Drx吗？ forgot放水。:D 最初由 forgot 发布 :D :D :D 看来int1和drx不能留下活口 2004-9-2 21:11 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 9 楼看不懂，高手讲解一下啊 2004-9-2 21:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 1 楼一段邪恶的代码…… 一段血淋淋的声讨…… 一段惨痛的历史…… 不知道这段代码在哪些系统中起作用…… 请作者站出来为自己惨绝人寰的兽行辩护，向广大遭受非人待遇的受害者作出赔偿:D 同时也请行家站出来为大家指明事情的真相 0042F6FD 0F014C24 FE SIDT FWORD PTR SS:[ESP-2] 0042F702 5E POP ESI 0042F703 66:8B46 18 MOV AX,WORD PTR DS:[ESI+18] 0042F707 66:8B5E 1E MOV BX,WORD PTR DS:[ESI+1E] 0042F70B 66:8985 3027400>MOV WORD PTR SS:[EBP+402730],AX 0042F712 66:899D 3227400>MOV WORD PTR SS:[EBP+402732],BX 0042F719 33C0 XOR EAX,EAX 0042F71B 66:8946 18 MOV WORD PTR DS:[ESI+18],AX 0042F71F C1E8 10 SHR EAX,10 0042F722 66:8946 1E MOV WORD PTR DS:[ESI+1E],AX 0042F726 61 POPAD 0042F727 5C POP ESP 0042F728 8D85 38274000 LEA EAX,DWORD PTR SS:[EBP+402738] 0042F72E 50 PUSH EAX 0042F72F CF IRETD 2004-9-2 17:36 0
getiteasy 雪币： 221 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 224 粉丝 1 关注私信	getiteasy 2 楼好像就是修改INT3向量吧，可能是幻影里面用得最多的手段。:( 2004-9-2 18:06 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 3 楼 cyclotron 中招了？ 2004-9-2 19:28 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 4 楼最初由 fly 发布 cyclotron 中招了？还不是那个XXXXX和XXXXXX的修改版，找到了这段代码，但是不知如何躲过，用Olly跟踪什么也不改，走到最后IDT也会被修改，接着就只有受害了，2k下没有IDT备份工具，每调试一次就要手动重启，不知道在虚拟机里调试会不会重启主机……:( 2004-9-2 19:58 0
fly 雪币： 898 活跃值： (4039) 能力值： ( LV9，RANK：3410 ) 在线值：发帖 294 回帖 7686 粉丝 32 关注私信	fly 85 5 楼 forgot修改的telock XXX？这个东东已经脱过了不要使用普通断点就不会死机了 2004-9-2 19:59 0
wangshy 雪币： 446 活跃值： (723) 能力值： ( LV7，RANK：100 ) 在线值：发帖 39 回帖 614 粉丝 1 关注私信	wangshy 2 6 楼我是用F4走到入口的~!:D 2004-9-2 20:13 0
cyclotron 雪币： 392 活跃值： (909) 能力值： ( LV9，RANK：690 ) 在线值：发帖 43 回帖 800 粉丝 9 关注私信	cyclotron 17 7 楼我没下任何断点，只是用Olly把所有异常过了一遍，中间花了点时间把关键代码复制下来，最后会CRC校验出错，然后提醒我清除所有断点，否则……这个时候IDT已经被破坏了另外想研究一下这些邪恶代码:D 不会是INT 3入口地址被清零就导致重启了吧？如果用VMware的话还会不会重启主机？奇怪的是，forgot 居然没有在seh中清零Drx吗？ 2004-9-2 20:17 0
小虾雪币： 2384 活跃值： (766) 能力值： (RANK：410 ) 在线值：发帖 36 回帖 2248 粉丝 7 关注私信	小虾 10 8 楼最初由 cyclotron 发布奇怪的是，forgot 居然没有在seh中清零Drx吗？ forgot放水。:D 最初由 forgot 发布 :D :D :D 看来int1和drx不能留下活口 2004-9-2 21:11 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 9 楼看不懂，高手讲解一下啊 2004-9-2 21:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复