[求助]请问 ,我要检测某程序是否在运行应该怎么判断?-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (29) ◀ 1 2
8185218 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	8185218 26 楼都给我吧,如果可以的话, 像你说的你就从OEP处开始我根本不懂OEP 是什么意思, 我只是业余会点delphi 而已 2008-11-16 19:42 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 27 楼我没学过编程，直接学的crack，也琢磨着要不要学一门语言，可一直也没起步。。。一个德国的好朋友说愿意教我，这家伙7岁左右开始学汇编，到现在编程20余年了，很牛啊！但是他在德国算：工人！我想想我们的大多数专业程序员也没机会从7、8岁开始学啊。。。深感中国要真正强大有很长很长的路去走扯远了。。！真的爱莫能助，超出我的能力范围了 2008-11-16 19:56 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 28 楼代码段中比较特殊的连续代码组合，或是数据段中比较特殊的常量字符串等等都可以用作特征，如果是没用用到reloc的EXE这样的地址是不太可能变动的 2008-11-16 20:25 0
8185218 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	8185218 29 楼恩,好的,谢谢各位帮忙,~ 2008-11-16 20:32 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 30 楼如果是没有加过壳的exe，对代码段取CRC或MD5之类的校验值应该就很安全了，最多再校验一下该段的长度即可直接取OEP处的代码不是很安全，因为同一版本高级语言编译出的OEP都是一样的。如果是加过壳，把该进程内存dump出来然后找一段连贯的并且相对独特的custom code，例如68 ?? ?? ?? ?? push imm32这样的指令就有一定的独特性（当然imm32必须是较为特殊的值），其他例如FF 15 ?? ?? ?? ??这样调用绝对地址的call也可以考虑，因为该地址本身也是比较特殊的 2008-11-16 20:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (29) ◀ 1 2
8185218 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	8185218 26 楼都给我吧,如果可以的话, 像你说的你就从OEP处开始我根本不懂OEP 是什么意思, 我只是业余会点delphi 而已 2008-11-16 19:42 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 27 楼我没学过编程，直接学的crack，也琢磨着要不要学一门语言，可一直也没起步。。。一个德国的好朋友说愿意教我，这家伙7岁左右开始学汇编，到现在编程20余年了，很牛啊！但是他在德国算：工人！我想想我们的大多数专业程序员也没机会从7、8岁开始学啊。。。深感中国要真正强大有很长很长的路去走扯远了。。！真的爱莫能助，超出我的能力范围了 2008-11-16 19:56 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 28 楼代码段中比较特殊的连续代码组合，或是数据段中比较特殊的常量字符串等等都可以用作特征，如果是没用用到reloc的EXE这样的地址是不太可能变动的 2008-11-16 20:25 0
8185218 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 23 粉丝 0 关注私信	8185218 29 楼恩,好的,谢谢各位帮忙,~ 2008-11-16 20:32 0
mstwugui 雪币： 503 活跃值： (80) 能力值： (RANK：280 ) 在线值：发帖 44 回帖 866 粉丝 4 关注私信	mstwugui 6 30 楼如果是没有加过壳的exe，对代码段取CRC或MD5之类的校验值应该就很安全了，最多再校验一下该段的长度即可直接取OEP处的代码不是很安全，因为同一版本高级语言编译出的OEP都是一样的。如果是加过壳，把该进程内存dump出来然后找一段连贯的并且相对独特的custom code，例如68 ?? ?? ?? ?? push imm32这样的指令就有一定的独特性（当然imm32必须是较为特殊的值），其他例如FF 15 ?? ?? ?? ??这样调用绝对地址的call也可以考虑，因为该地址本身也是比较特殊的 2008-11-16 20:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复