เทคนิคพวกนี้ anti anti debug สำเร็จรูป บางตัวก็ยังหาไม่เจอ ลอง 2 ตัว HideDebugger และ IsDebug
แต่เอาเข้าจริงแค่เห็นโค้ด แก้นิดเดียวก็ ผ่านสบายๆแล้ว ไม่ได้ช้วยป้องกัน อะไร เท่าไหร่ แต่ก็พอหลอก คนหัด Debug มือใหม่ได้ดีทีเดียว
**Hidden Content: To see this hidden content your post count must be 5 or greater.**
^^"
เสริมให้อีกนิดนะครับ สาเหตุทึี่ check esit = 0xFFFFFFFF ก็เพราะว่า ESI ของ Olly มันจะเริ่มด้วยค่า -1 เ้สมอที่ตำแหน่ง OP ของ program ทำให้ สามารถเขียน code ไป terminate program ทิ้งได้ (ปรกติ เท่าที่เห็นจะใช้ ร่วมกับ TerminateProcess)
ปล. ท่าน neoclassic ยังอยู่ไหมคับถ้าอยู่ มีคำถามเกี่ยวกับ protector แบบ VM หน่อยอะครับ ไม่ค่อยเข้าใจเท่าไหร่
<div align="center">"Hacking isn’t about helping the security industry, which leeches from Hackers."</div>
<div align="center">http://img397.imageshack.us/img397/159/cwhbannerzl0.gif</div>
Tummy นี้ ท่าทาง ศึกษามาเป็น อย่างดีเลยทีเดียว
หมายถึง VM ware หรือ พวก sandbox ผมเองก็ ไม่ค่อยเข้าใจมันเท่าไหร่หรอก เพราะไม่ใช้คนคิดค้นปล. ท่าน neoclassic ยังอยู่ไหมคับถ้าอยู่ มีคำถามเกี่ยวกับ protector แบบ VM หน่อยอะครับ ไม่ค่อยเข้าใจเท่าไหร่[/b]
ส่วนใหญ่เห็นโค้ด ผ่านๆ ก็เอามาทดสอบเล่นๆ เวลาคิดอะไรไม่ค่อยออก
ไม่ค่อยรู้จัก sandbox ด้วยสิผม - -"
แต่ผมอยากรู้พวก VM protector อ่ะครับ มันเป็นพวก จำลอง virtual machine ขึ้นมาแล้วเอา code ที่ไม่ใช่ของ x86 ยัดลงไป เพื่อให้มัน convert กลับมาเป็น x86 (ประมาณ พวก packer อ่ะครับ) ยังงงๆ - -"
พอดี กำลัง unpack Themida อยู่ (จริงๆก็ได้หมดละ เหลือแค่ memory map ที่มันเอา file บางอย่างไปยัดไว้บนนั้น Copy ออกมาแล้วใช้ไม่ได้ T-T)
<div align="center">"Hacking isn’t about helping the security industry, which leeches from Hackers."</div>
<div align="center">http://img397.imageshack.us/img397/159/cwhbannerzl0.gif</div>
Actions : (View-Readers)
There are no names to display.
Posting Permissions
Reply With Quote