[求助]检测某程序的壳是否已解壳完成代码实现-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
loveluck 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	loveluck 2 楼 PEID查壳即可.. 2008-8-15 14:36 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 3 楼貌似有个东西可以PATCH带TMD壳的程序内存代码.但忘记了. 2008-8-15 15:00 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 4 楼 Hook所有API，你会得到你想要的 2008-8-15 15:45 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 5 楼有个折中的办法，自己写个loader，用SUSPENDED方式CreateProcess，接着ResumeThread他，loader小睡一下，sleep(10),再SuspendThread他，读取一下你要patch的地方，是否已经是你要patch的代码了（解压好了）。不是再重复上面的工作，直接等到时机即可。方法很笨，但实用。这样弄过一个TMD的，没有问题。 2008-8-17 00:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 6 楼来对地方了, 这里有很多会秒脱的高手 2008-8-17 01:02 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼好 123456 2008-8-17 13:26 0
uppreety 雪币： 220 活跃值： (21) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 23 粉丝 2 关注私信	uppreety 1 8 楼呵呵谢谢大家关注... 过了2天我试验出来一种稳定的办法 1.用自己的Loader来CreateProcess来加载目标程序，创建标志--设置为创建后暂停程序。 2.loader通过远线程注入DLL...Dll的初始化代码就执行HOOK API（当然HOOK哪个API就根据自己的实际需要和情况了..已来确定壳已经解壳完成！我HOOK的是CreateProcessA）然后再在自己的构造API函数里修改想要修改的指令，因为这时已经已经解壳完成了 3.再ResumeThread唤醒目标进程就可以了 ........ 2008-8-20 10:25 0
uppreety 雪币： 220 活跃值： (21) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 23 粉丝 2 关注私信	uppreety 1 9 楼 clide2000 兄弟貌视搞过NP的人安.... 2008-8-20 10:28 0
chaogui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	chaogui 10 楼要是有个视频教程，就好了～ 2008-8-22 05:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
loveluck 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	loveluck 2 楼 PEID查壳即可.. 2008-8-15 14:36 0
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 339 粉丝 0 关注私信	lunglungyu 1 3 楼貌似有个东西可以PATCH带TMD壳的程序内存代码.但忘记了. 2008-8-15 15:00 0
somuch 雪币： 282 活跃值： (31) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 341 粉丝 1 关注私信	somuch 1 4 楼 Hook所有API，你会得到你想要的 2008-8-15 15:45 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 5 楼有个折中的办法，自己写个loader，用SUSPENDED方式CreateProcess，接着ResumeThread他，loader小睡一下，sleep(10),再SuspendThread他，读取一下你要patch的地方，是否已经是你要patch的代码了（解压好了）。不是再重复上面的工作，直接等到时机即可。方法很笨，但实用。这样弄过一个TMD的，没有问题。 2008-8-17 00:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 6 楼来对地方了, 这里有很多会秒脱的高手 2008-8-17 01:02 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 7 楼好 123456 2008-8-17 13:26 0
uppreety 雪币： 220 活跃值： (21) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 23 粉丝 2 关注私信	uppreety 1 8 楼呵呵谢谢大家关注... 过了2天我试验出来一种稳定的办法 1.用自己的Loader来CreateProcess来加载目标程序，创建标志--设置为创建后暂停程序。 2.loader通过远线程注入DLL...Dll的初始化代码就执行HOOK API（当然HOOK哪个API就根据自己的实际需要和情况了..已来确定壳已经解壳完成！我HOOK的是CreateProcessA）然后再在自己的构造API函数里修改想要修改的指令，因为这时已经已经解壳完成了 3.再ResumeThread唤醒目标进程就可以了 ........ 2008-8-20 10:25 0
uppreety 雪币： 220 活跃值： (21) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 23 粉丝 2 关注私信	uppreety 1 9 楼 clide2000 兄弟貌视搞过NP的人安.... 2008-8-20 10:28 0
chaogui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	chaogui 10 楼要是有个视频教程，就好了～ 2008-8-22 05:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]检测某程序的壳是否已解壳完成 代码实现

[求助]检测某程序的壳是否已解壳完成代码实现