View Full Version : [FASM] Anti OllyDBG
neoclassic
04-06-2008, 02:37 PM
เทคนิคพวกนี้ anti anti debug สำเร็จรูป บางตัวก็ยังหาไม่เจอ ลอง 2 ตัว HideDebugger และ IsDebug
แต่เอาเข้าจริงแค่เห็นโค้ด แก้นิดเดียวก็ ผ่านสบายๆแล้ว ไม่ได้ช้วยป้องกัน อะไร เท่าไหร่ แต่ก็พอหลอก คนหัด Debug มือใหม่ได้ดีทีเดียว
**Hidden Content: Check the thread to see hidden data.**
Tummy
04-06-2008, 04:14 PM
^^"
เสริมให้อีกนิดนะครับ สาเหตุทึี่ check esit = 0xFFFFFFFF ก็เพราะว่า ESI ของ Olly มันจะเริ่มด้วยค่า -1 เ้สมอที่ตำแหน่ง OP ของ program ทำให้ สามารถเขียน code ไป terminate program ทิ้งได้ (ปรกติ เท่าที่เห็นจะใช้ ร่วมกับ TerminateProcess)
ปล. ท่าน neoclassic ยังอยู่ไหมคับถ้าอยู่ มีคำถามเกี่ยวกับ protector แบบ VM หน่อยอะครับ ไม่ค่อยเข้าใจเท่าไหร่
neoclassic
04-06-2008, 07:05 PM
Tummy นี้ ท่าทาง ศึกษามาเป็น อย่างดีเลยทีเดียว
ปล. ท่าน neoclassic ยังอยู่ไหมคับถ้าอยู่ มีคำถามเกี่ยวกับ protector แบบ VM หน่อยอะครับ ไม่ค่อยเข้าใจเท่าไหร่[/b]
หมายถึง VM ware หรือ พวก sandbox ผมเองก็ ไม่ค่อยเข้าใจมันเท่าไหร่หรอก เพราะไม่ใช้คนคิดค้น
ส่วนใหญ่เห็นโค้ด ผ่านๆ ก็เอามาทดสอบเล่นๆ เวลาคิดอะไรไม่ค่อยออก :D
Tummy
04-06-2008, 07:30 PM
ไม่ค่อยรู้จัก sandbox ด้วยสิผม - -"
แต่ผมอยากรู้พวก VM protector อ่ะครับ มันเป็นพวก จำลอง virtual machine ขึ้นมาแล้วเอา code ที่ไม่ใช่ของ x86 ยัดลงไป เพื่อให้มัน convert กลับมาเป็น x86 (ประมาณ พวก packer อ่ะครับ) ยังงงๆ - -"
พอดี กำลัง unpack Themida อยู่ (จริงๆก็ได้หมดละ เหลือแค่ memory map ที่มันเอา file บางอย่างไปยัดไว้บนนั้น Copy ออกมาแล้วใช้ไม่ได้ T-T)
Powered by vBulletin® Version 4.2.5 Copyright © 2026 vBulletin Solutions Inc. All rights reserved.