首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[分享]这段反OD插件的代码写得如何?
发表于: 2009-3-3 11:30 4968

[分享]这段反OD插件的代码写得如何?

open[xgc] 活跃值
2
2009-3-3 11:30
4968
这样写法效果不知会是怎么样的?
const
    DLL:PChar = 'NTDLL';
    DLLNAME:PChar = 'NtSetInformationThread' ;
begin
    asm
      PUSH DLL
      CALL LoadLibrary
      PUSH DLLNAME
      PUSH EAX
      CALL GetProcAddress
      PUSH 0
      PUSH 0
      PUSH $11
      PUSH -2
      MOV EAX,[EAX+1]   
      MOV EDX, ESP
      INT $2E
      ADD ESP,$10
    end;

[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (11)
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
2
就是设置了ThreadHideFromDebugger
2009-3-3 12:07
0
太虚伪了
雪    币: 263
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
乾隆年的东西了
早在2004年就有了
http://bbs.pediy.com/showthread.php?t=2474
int2e版的,hying的壳2005年就在用了
2009-3-3 12:13
0
achillis
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
私信
4
可以拦截NetSetThreadInformation发现调用其第17号功能就直接返回。不过有的壳做的好的,在ring3拦不住,貌似得上驱动
2009-3-3 12:14
0
open[xgc]
雪    币: 282
活跃值: (358)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
5
嗯.很久.我就是看OD插件是如何HOOK NetSetThreadInformation  所以用硬编码...
对壳不熟
2009-3-3 12:34
0
Nooby
雪    币: 82
活跃值: (10)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
私信
6
插件不能用r0钩子了?
2009-3-3 12:53
0
海风月影
雪    币: 7357
活跃值: (3878)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
7
写得很好,我被anti了
2009-3-3 13:42
0
open[xgc]
雪    币: 282
活跃值: (358)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
8
膜拜楼上+楼上楼上...
2009-3-3 14:31
0
jskew
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
9
anti也可以写到r0,反反od的r0反anti
2009-3-3 15:02
0
Nooby
雪    币: 82
活跃值: (10)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
私信
10
反anti可以无视兼容性,anti不行.
2009-3-3 15:24
0
海风月影
雪    币: 7357
活跃值: (3878)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
私信
11
anti要写到r-1才有效
2009-3-3 16:43
0
childem
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
这要反到第几层才会使“反”失效或使 “反反”失效?!
2009-3-5 01:46
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回