Anti üzerine kısa bir cik tricks.Most programcılar debuging, ancak bir hata ayıklayıcı algılanırsa bu program yayından kaldırılır bazı kodunu. Bir Debugger tespit en yaygın yolu, bir hata ayıklayıcı kullanır (VXD vb) belirli dosyaları bulmak için zaman kendi çalışıyor.
Bu program herhangi bir en yaygın dizeleri bir program olduğunu dikkat açık them.The çalışacağız Bu dosyaların bulur şu:
\ \. \ NTICE
\ \. \ SIWDEBUG
\ \. \ SIWVID
\ \. \ ICEDUMP
\ \. \ TRW
\ \. \ TRW2000
\ \. \ TRWDEBUG
\ \. \ TRACKIT
\ \. \ BW2K
\ \. \ SUPERBPM
Eğer bunların arasında Hafıza çalıştırmak geleceğiz zamanlı sonra sıfır onları run.I devam etmelidir program out.And çünkü bazen çalıştırmak kadar program bu dizeleri-time.The Breakpoint bulmak cant hafızasına zaman kullanmak demek Bunu yaparken 'BPX CreatefileA. Aşağıda tespit Softice size bir fikir vermek için bazı ASM kodunu nasıl çalıştığını olmasıdır. Çalışma tarzı çok basittir: (SICE, SIWVID Win9x, NTICE için WinNT için yönetir) ve CreateFileA API.Its takip edilmesi kolay olan SoftICE sürücüler açmaya çalışır.
;****************************************
; * HEYWIRE'S Ant-SICE *
;****************************************
.386
. modeli STDCALL düz
seçeneği casemap: none
dahil \ masm32 \ dahil \ windows.inc
dahil \ masm32 \ dahil \ user32.inc
dahil \ masm32 \ dahil \ kernel32.inc
includelib \ masm32 \ lib '\ user32.lib
includelib \ masm32 \ lib '\ kernel32.lib
. veriler
DosyaAdı dB "\ \. \ SICE", 0
AppName DB "Anti-SICE hEYWIRE tarafından", 0
Foundsice DB "SoftICE algılandığında!", 0
Nosice DB "SoftICE" 0 bulunamadı oldu
8 Şubat 2009 Pazar
Kaydol:
Kayıt Yorumları (Atom)
Hiç yorum yok:
Yorum Gönder