在98脱壳底下以后为什么不能在XP底下运行-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
xuanyuanhaobo 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	xuanyuanhaobo 2 楼强调一句我是做好系统备份的初学者 2004-10-21 13:29 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 3 楼可能是iat没有修复好。 2004-10-24 21:55 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 4 楼 file size自检是用GetFileSize, SetFilePointer。死循环执行explorer.exe是用WinExec。删注册表是用RegDeleteValueA（有的是正常删注册表键值的代码，有的是恶意删）。还有时间随机的check是用VCL的DecodeDate（好像是用这个，IDA可以识别出来）。检查od/dede/filemon/regmon是用FindWindow，检查debugger driver的地方可以搜索 \\.\ 或者CreateFileA/_lopen 。改分辨率应该是SystemParametersInfo（）。如果要完全去除暗桩，最好还是写个解码函数，把EXE里面加密了的串全部解一下并逐个检查一下。:D 2004-10-24 22:05 0
wzmooo 雪币： 10580 活跃值： (2264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 496 粉丝 1 关注私信	wzmooo 5 楼一个字强 2004-10-24 22:28 0
xuanyuanhaobo 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	xuanyuanhaobo 6 楼最初由 blowfish 发布 file size自检是用GetFileSize, SetFilePointer。死循环执行explorer.exe是用WinExec。删注册表是用RegDeleteValueA（有的是正常删注册表键值的代码，有的是恶意删）。还有时间随机的check是用VCL的DecodeDate（好像是用这个，IDA可以识别出来）。检查od/dede/filemon/regmon是用FindWindow，检查debugger driver的地方可以搜索 \\.\ 或者CreateFileA/_lopen 。改分辨率应该是SystemParametersInfo（）。如果要完全去除暗桩，最好还是写个解码函数，把EXE里面加密了的串全部解一下并逐个检查一下。:D 靠版主就是强 2004-10-25 17:52 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 7 楼我用sice+od，发现果然是这么回事，跳过了七八个FindWindow就可以用OD加载了，真是bt 2004-12-4 17:35 0
采臣·宁雪币： 154 活跃值： (221) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼妈的,版主功力怎么这么功.我何时才能混到这种地步啊. 2004-12-4 18:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
xuanyuanhaobo 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	xuanyuanhaobo 2 楼强调一句我是做好系统备份的初学者 2004-10-21 13:29 0
auser 雪币： 234 活跃值： (104) 能力值： ( LV2，RANK：10 ) 在线值：发帖 35 回帖 568 粉丝 1 关注私信	auser 3 楼可能是iat没有修复好。 2004-10-24 21:55 0
blowfish 雪币： 3246 活跃值： (374) 能力值： (RANK：20 ) 在线值：发帖 15 回帖 296 粉丝 7 关注私信	blowfish 4 楼 file size自检是用GetFileSize, SetFilePointer。死循环执行explorer.exe是用WinExec。删注册表是用RegDeleteValueA（有的是正常删注册表键值的代码，有的是恶意删）。还有时间随机的check是用VCL的DecodeDate（好像是用这个，IDA可以识别出来）。检查od/dede/filemon/regmon是用FindWindow，检查debugger driver的地方可以搜索 \\.\ 或者CreateFileA/_lopen 。改分辨率应该是SystemParametersInfo（）。如果要完全去除暗桩，最好还是写个解码函数，把EXE里面加密了的串全部解一下并逐个检查一下。:D 2004-10-24 22:05 0
wzmooo 雪币： 10580 活跃值： (2264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 496 粉丝 1 关注私信	wzmooo 5 楼一个字强 2004-10-24 22:28 0
xuanyuanhaobo 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	xuanyuanhaobo 6 楼最初由 blowfish 发布 file size自检是用GetFileSize, SetFilePointer。死循环执行explorer.exe是用WinExec。删注册表是用RegDeleteValueA（有的是正常删注册表键值的代码，有的是恶意删）。还有时间随机的check是用VCL的DecodeDate（好像是用这个，IDA可以识别出来）。检查od/dede/filemon/regmon是用FindWindow，检查debugger driver的地方可以搜索 \\.\ 或者CreateFileA/_lopen 。改分辨率应该是SystemParametersInfo（）。如果要完全去除暗桩，最好还是写个解码函数，把EXE里面加密了的串全部解一下并逐个检查一下。:D 靠版主就是强 2004-10-25 17:52 0
cgdxxx 雪币： 212 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	cgdxxx 7 楼我用sice+od，发现果然是这么回事，跳过了七八个FindWindow就可以用OD加载了，真是bt 2004-12-4 17:35 0
采臣·宁雪币： 154 活跃值： (221) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼妈的,版主功力怎么这么功.我何时才能混到这种地步啊. 2004-12-4 18:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复