-
-
[原创]检测软件被下int3断点
-
发表于: 2014-12-28 14:42
-
这个方法不是原创的
但是代码是自己写的。。。。
由于是用FASM写的 (我这个输入不了中文....)自己英语水平又不咋地 配合词典看看文档还凑合 自己说就算了。。。前面用有道翻译的。。。
下面上代码
;Here is what I see in hacker defense testing 0xCC software breakpoints
;I write it with FASM assembler
include 'win32ax.inc'
use32
entry start
section '.text' code readable executable
start:
push ebp
mov ebp,esp
mov eax,[fs:30h] ;peb
mov ebx, dword[eax+08h] ;Imagebase
mov dword [imagebassaddress],ebx
mov eax,[eax+0ch]
mov eax,[eax+0ch]
mov ebx, dword [eax+20h] ;sizeofimage
mov dword [sizeofimage],ebx
invoke CreateThread,NULL,NULL,fuckocc,NULL,0,NULL
fucknima:
mov ecx,10
loop fucknima
mov esp,ebp
pop ebp
invoke exit,NULL
fuckocc:
;Function implementation
push ebp
mov ebp,esp
fuckcc_loop:
mov al,0xcc
mov edi,dword [imagebassaddress];get imagebaseaddress
mov ecx,dword [sizeofimage];get imagesize
repne scasb
sub edi,1;get address 0XCC=1BYTE so sub
mov dword [fuckcc],edi ;write 0xcc address to .data
;mov dword [edi],0x90
jmp fuckcc_loop
mov esp,ebp
pop ebp
section '.data' data readable writeable
imagebassaddress dd 00
sizeofimage dd 00
fuckcc dd 00
section '.idata' import data readable
library kernel,'KERNEL32.DLL'
import kernel,CreateThread,'CreateThread',\
exit,'ExitProcess' 
大神不要笑话
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
虽然不咋地 也没有必要骂人吧。要是我都写出来了 还发上来干嘛
|
|
|
每次都回复真特么感动
|
|
|
|
|
|
|
|
|
|
|
|
解析指令长度求思路
|
|
|
可以参考udis86里,有个好像是叫ud_decode的函数.
另外,你告诉我怎么跳出来...虽然本人没用过*ASM之类的工具,但好歹也用过OD调试过程序. 看到你那段代码就心生疑惑.百度了下repne scasb指令,它也不具备跳转的功能. 于是顺手找了个exe改了实验下:  到现在还没跑完呢..你告诉我怎么跳出来.. |
|
|
好像是出了问题。。。。
|
|
|
|
|
|
|
