-
-
[原创]一个新的Anti
-
发表于:
2007-12-26 19:28
5725
-
呵呵,无意见发现的,适用于大多数版本的OD
国内很多OD都带一个插件,名叫IsDebuggerPreset,里面有的“选项”,看看里面是什么?
于是我们就有机可乘了!
.386
.model flat, stdcall
option casemap:none
include anti.inc
.data
sa db "Debug Found!",0
sb db "Anti by NONAME",0
sc db "Well Done!",0
.code
start:
assume fs:nothing ;MASM32会默认将FS指向ERROR
MOV EAX,DWORD PTR FS:[18H]
MOV EAX,DWORD PTR DS:[EAX+30h]
MOV BYTE PTR DS:[EAX+2h],1 ;让DEBUG标志=1
call IsDebuggerPresent ;你说返回值会是什么?HEHE~
.if eax==0
invoke MessageBox,0,addr sa,addr sb,MB_ICONERROR ;去死
.else
invoke MessageBox,0,addr sc,addr sb,MB_ICONINFORMATION
.endif
ret
end start
不用过多解释了吧?反ANTI的方法是把那个选项给去掉。但可悲的是99%的人都不会去设置那个选项的……
只对OD有效,对SOFTICE无用。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
有创意
