[转帖]Windows Anti-Debug Reference-安全工具-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼 Again to LaoNa 2007-9-13 10:16 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼 (3) EntryPoint RVA set to 0 Some packed files have their entry point RVA set to 0, which means they will start executing 'MZ...' which corresponds to 'dec ebx / pop edx ...'. This is not an anti-debug trick in itself, but can be annoying if you want to break on the entry-point by using a software breakpoint. If you create a suspended process, then set an INT3 at RVA 0, you will erase part of the magic MZ value ('M'). The magic was checked when the process was created, but it will get checked again by ntdll when the process is resumed (in the hope of reaching the entry-point). In that case, an INVALID_IMAGE_FORMAT exception will be raised. If you create your own tracing or debugging tool, you will want to use hardware breakpoint to avoid this problem. 这个好玩 2007-9-13 10:23 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 4 楼 very good, very strong 2007-9-13 10:46 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 5 楼 Hi.yes. 2007-9-13 20:49 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 6 楼 good,is true. 2007-9-13 20:53 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 7 楼 I think:"http://bbs.pediy.com/showthread.php?t=51022" 2007-9-14 00:06 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼 think what? 2007-9-15 04:58 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 9 楼 I am translating it to Chinese 2007-9-15 14:56 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 10 楼花了我整整一下午,终于完工了. 我只翻译完成,没有仔细检查, 如果有什么不妥的地方多多见谅. 英语水平好的就不用看了. 偶的水平也烂得很大专都没毕业上传的附件： Windows Anti-Debug Reference.rar （22.07kb，216次下载） 2007-9-15 18:55 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 11 楼咋的没人发表意见呢.看来都和我一样哦,喜欢沉默通常我用别人东西也不发表什么哦 2007-9-15 22:50 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 12 楼看英文版就够了, 不过也收藏了. 感谢耶稣,感谢佛祖,感谢angeljyt 2007-9-16 12:28 0
tglxftc 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	tglxftc 13 楼 well done.but...........no profession 2007-10-28 22:01 0
gxustudent 雪币： 449 活跃值： (189) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 23 粉丝 1 关注私信	gxustudent 14 楼 I had saw this paper in the foums magazine <hacker defender>,did the paper was ready translate by you???? 2007-11-14 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼 Again to LaoNa 2007-9-13 10:16 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 3 楼 (3) EntryPoint RVA set to 0 Some packed files have their entry point RVA set to 0, which means they will start executing 'MZ...' which corresponds to 'dec ebx / pop edx ...'. This is not an anti-debug trick in itself, but can be annoying if you want to break on the entry-point by using a software breakpoint. If you create a suspended process, then set an INT3 at RVA 0, you will erase part of the magic MZ value ('M'). The magic was checked when the process was created, but it will get checked again by ntdll when the process is resumed (in the hope of reaching the entry-point). In that case, an INVALID_IMAGE_FORMAT exception will be raised. If you create your own tracing or debugging tool, you will want to use hardware breakpoint to avoid this problem. 这个好玩 2007-9-13 10:23 0
一个刀客雪币： 209 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 125 粉丝 0 关注私信	一个刀客 1 4 楼 very good, very strong 2007-9-13 10:46 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 5 楼 Hi.yes. 2007-9-13 20:49 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 6 楼 good,is true. 2007-9-13 20:53 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 7 楼 I think:"http://bbs.pediy.com/showthread.php?t=51022" 2007-9-14 00:06 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼 think what? 2007-9-15 04:58 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 9 楼 I am translating it to Chinese 2007-9-15 14:56 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 10 楼花了我整整一下午,终于完工了. 我只翻译完成,没有仔细检查, 如果有什么不妥的地方多多见谅. 英语水平好的就不用看了. 偶的水平也烂得很大专都没毕业上传的附件： Windows Anti-Debug Reference.rar （22.07kb，216次下载） 2007-9-15 18:55 0
angeljyt 雪币： 222 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 6 回帖 69 粉丝 0 关注私信	angeljyt 3 11 楼咋的没人发表意见呢.看来都和我一样哦,喜欢沉默通常我用别人东西也不发表什么哦 2007-9-15 22:50 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 12 楼看英文版就够了, 不过也收藏了. 感谢耶稣,感谢佛祖,感谢angeljyt 2007-9-16 12:28 0
tglxftc 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	tglxftc 13 楼 well done.but...........no profession 2007-10-28 22:01 0
gxustudent 雪币： 449 活跃值： (189) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 23 粉丝 1 关注私信	gxustudent 14 楼 I had saw this paper in the foums magazine <hacker defender>,did the paper was ready translate by you???? 2007-11-14 00:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复