首页
社区
课程
招聘
[讨论]反跟踪技术的疑惑?
发表于: 2009-6-5 11:30 4195

[讨论]反跟踪技术的疑惑?

2009-6-5 11:30
4195
;////////////////是否Anit DEBUG
        mov        eax, dword ptr [ebp+(S_AnitDebg-ShellStart0)]
        .if        eax != 0
    push 0
        push 0
        push 11
        push -2
        mov eax,0c7h
        mov edx,esp
        int 2eh
        mov eax,0E5h
        mov edx,esp
        int 2eh
        mov eax,0EEh
        mov edx,esp
        int 2eh
        mov eax,136h
        mov edx,esp
        int 2eh
        add esp,10h
        .endif

这些代码是从加密与解密反跟踪里COPY下来的,但是用OLLYDBG运行了这个代码正常,并不能隐藏进程.?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 1450
活跃值: (35)
能力值: (RANK:680 )
在线值:
发帖
回帖
粉丝
2
貌似是shoooo的代码~
2009-6-5 11:56
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
是的,但是不能反跟踪?
2009-6-5 11:59
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
push 0
        push 0
        push 11
        push -2
        mov eax,0c7h
        mov edx,esp
        int 2eh
        nop
        mov eax,0E5h
        mov edx,esp
        int 2eh
        nop
        mov eax,0EEh
        mov edx,esp
        int 2eh
        nop
        mov eax,136h
        mov edx,esp
        int 2eh
        nop
        add esp,10h

我发现 int 2Eh调用之后EIP会跳过下一条指令,要加个nop  到后面。但是还是不能反OLLYDBG
2009-6-5 13:52
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
push 0
  push 0
  push 11
  push -2
  mov eax,0c7h
  mov edx,esp
  int 2eh
  nop
  mov eax,0E5h
  mov edx,esp
  int 2eh
  nop
  mov eax,0EEh
  mov edx,esp
  int 2eh
  nop
  mov eax,136h
  mov edx,esp
  int 2eh
  nop
  add esp,10h

我发现 int 2Eh调用之后EIP会跳过下一条指令,要加个nop  到后面。但是还是不能反OLLYDBG
2009-6-5 13:55
0
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
这里有个帖子 看看吧
http://blog.csdn.net/hack8/archive/2009/01/18/3826322.aspx
2009-6-5 14:46
0
游客
登录 | 注册 方可回帖
返回
//