-
-
tmd的一个无聊的anti-1910script
-
发表于:
2008-1-24 14:41
7200
-
发现我系统上加壳的程序能跑脚本, 在有个人的电脑上加的就不能跑了, 但是他和我的tmd的md5都是一样的~~~吃完饭看了一下, 原来tmd有时候会选择在释放代码时不用自己模拟的VirtualAlloc而是用kernel32中的真身. 不知道是tmd有意的还是某些时候考虑壳的兼容性~ 如果是有意的话这个anti明显就是针对脚本的了, 1950就是针对脚本做了更新~ 看来还是脱壳机好
脚本中相关的部分修正了一下
bphwc tmpbp
rtu
findVirtualAlloc:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE8090000005DC21000# //查找被虚拟的VirtualAlloc函数
mov tmpbp,$RESULT
cmp tmpbp,0
je win2003
bphws tmpbp ,"x"
var VA_inshell
mov VA_inshell, tmpbp
gpa "VirtualAlloc", "kernel32.dll" //补充了一点点
mov tmpbp,$RESULT
bphws tmpbp, "x"
var VA_inkrl32
mov VA_inkrl32, tmpbp
jmp tmploop
win2003:
find apibase,#558BECFF7514FF7510FF750CFF75086AFFE878FFFFFF5DC21000#
mov tmpbp,$RESULT
cmp tmpbp,0
je stop
bphws tmpbp ,"x"
tmploop:
//补充
esto
cmp eip, VA_inkrl32
je del1
cmp eip, VA_inshell
je del2
jmp tmploopnext
del1:
bphwc VA_inshell
jmp tmploopnext
del2:
bphwc VA_inkrl32
jmp tmploopnext
tmploopnext:
cmp eax,getprocadd //定位加密表出现时机
je iatbegin
cmp eax,getprocadd_2
je iatbegin
jne tmploop
iatbegin:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课