首页
社区
课程
招聘
[求助]请问 ,我要检测某程序是否在运行应该怎么判断?
发表于: 2008-11-16 17:44 8788

[求助]请问 ,我要检测某程序是否在运行应该怎么判断?

2008-11-16 17:44
8788
收藏
免费 0
支持
分享
最新回复 (29)
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
都给我吧,如果可以的话,

像你说的 你就从OEP处开始  我根本不懂OEP 是什么意思,
我只是业余会点delphi 而已
2008-11-16 19:42
0
雪    币: 427
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
27
我没学过编程,直接学的crack,也琢磨着要不要学一门语言,可一直也没起步。。。
一个德国的好朋友说愿意教我,这家伙7岁左右开始学汇编,到现在编程20余年了,很牛啊!
但是他在德国算:工人!
我想想我们的大多数专业程序员也没机会从7、8岁开始学啊。。。
深感中国要真正强大有很长很长的路去走
扯远了。。!
真的爱莫能助,超出我的能力范围了
2008-11-16 19:56
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
28
代码段中比较特殊的连续代码组合,或是数据段中比较特殊的常量字符串等等都可以用作特征,如果是没用用到reloc的EXE这样的地址是不太可能变动的
2008-11-16 20:25
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
29
恩,好的,谢谢各位帮忙,~
2008-11-16 20:32
0
雪    币: 503
活跃值: (80)
能力值: (RANK:280 )
在线值:
发帖
回帖
粉丝
30
如果是没有加过壳的exe,对代码段取CRC或MD5之类的校验值应该就很安全了,最多再校验一下该段的长度即可
直接取OEP处的代码不是很安全,因为同一版本高级语言编译出的OEP都是一样的。如果是加过壳,把该进程内存dump出来然后找一段连贯的并且相对独特的custom code,例如68 ?? ?? ?? ?? push imm32这样的指令就有一定的独特性(当然imm32必须是较为特殊的值),其他例如FF 15 ?? ?? ?? ??这样调用绝对地址的call也可以考虑,因为该地址本身也是比较特殊的
2008-11-16 20:35
0
游客
登录 | 注册 方可回帖
返回
//