|
阅读:2106回复:19
整
在win32下, 整
|
|
最新喜欢: xiangs...
|
|
沙发#
发布于:2002-07-15 10:22
1,还是int 3
2,IsDebuggerPresent函数及其它技巧 3,网上很多方法啊,比如CreateFile之类的 |
|
|
|
板凳#
发布于:2002-07-15 10:26
比如softice斤一段程序下了很多
|
|
|
地板#
发布于:2002-07-15 10:36
[quote]比如softice斤一段程序下了很多
|
|
|
|
地下室#
发布于:2002-07-15 10:43
在代码中下的一般都是int 3,就是在断点的地方把一个字节换为int 3,如果是在内存数据上下断点,则用调试寄存器,Dr0-Dr4 感著! 那 |
|
|
5楼#
发布于:2002-07-15 10:48
[quote]
感著! 那 |
|
|
|
6楼#
发布于:2002-07-15 10:52
我明白了! Thank you!
|
|
|
7楼#
发布于:2002-07-15 11:06
1,还是int 3 4.SoftICE Backdoor Interrupt in 9x:P |
|
|
|
8楼#
发布于:2002-07-15 11:08
[quote]1,还是int 3 4.SoftICE Backdoor Interrupt in 9x:P [/quote] 是啊,还有别的方法,不过贫僧没有仔细研究过。 我觉得在病毒里检查SoftIce不是很好的,因为可能一个人装了SI只是为破解,结果病毒以为他也是AVer,那就误会了 :( :( :( |
|
|
|
9楼#
发布于:2002-07-15 11:10
[quote][quote]
感著! 那 |
|
|
10楼#
发布于:2002-07-15 11:12
其实反跟踪有很多技巧可以挖掘的,不过贫僧进入Win32时代以后对反跟踪基本不研究了 :( :( :( |
|
|
|
11楼#
发布于:2002-07-15 11:32
在代码中下的一般都是int 3,就是在断点的地方把一个字节换为int 3,如果是在内存数据上下断点,则用调试寄存器,Dr0-Dr4 又有 |
|
|
12楼#
发布于:2002-07-15 11:40
[quote]在代码中下的一般都是int 3,就是在断点的地方把一个字节换为int 3,如果是在内存数据上下断点,则用调试寄存器,Dr0-Dr4 又有 |
|
|
13楼#
发布于:2002-07-15 11:50
什 |
|
|
14楼#
发布于:2002-07-15 12:45
[quote]
又有 |
|
|
|
15楼#
发布于:2002-07-15 12:57
高明的方法.Thank you !
|
|
|
16楼#
发布于:2002-07-15 13:07
高明的方法.Thank you ! 高明?最传统的int 3的用法啊 |
|
|
|
17楼#
发布于:2002-07-15 13:09
who are you施主,你是不是误会了
int 3以后要继续执行的话,还得把那个pushad放回去,成了 mov eax,30h push eax add ebx,eax pusha sub ecx,edx 任何指令都可以被在第一个字节处插入int 3,贫僧这里用一个单字节指令,只不过为了书写方便而已 |
|
|
|
18楼#
发布于:2002-07-15 14:02
who are you施主,你是不是误会了 也就是真,先修改然後再恢 |
|
|
19楼#
发布于:2002-07-15 14:07
[quote] who are you施主,你是不是误会了 也就是真,先修改然後再恢 |
|
|