Возвращение

karabas-barabas · 19.10.2010

Помнится в мои былые времена с отладчиками боролись путем

вот почитай как современная молодежь борится с отладчиком

Грот · 20.10.2010

методов анти эмуляции может быть много их много на васме
вот пример, рассчитан на прерывания

Код:

format PE GUI 4.0

include 'include\win32ax.inc'
.code

start:
 Call dt_
dt_:
    int 2Ch
    add DWORD [ecx], ( jmp_-  dt_)
    retn 0
jmp_:
	invoke	MessageBox,HWND_DESKTOP,"Hi! I'm the example program!","Win32 Assembly",MB_OK
	invoke	ExitProcess,0

.end start

вот к примеру
простой код если трассировать его в ольге он упадет а если запустить в нормальном режиме то он работает исследовать прерывания желательно в софтице
вот файл для примера

r00f · 14.11.2010

привязка к сегментным регистрам - не есть гууд. на васме проскакивало:

Код:

cs ss gs fs es ds
23 2b 2b 53 2b 2b    x64, Compatibility Mode
33 2b 2b 53 2b 2b    x64, Long Mode
1b 23 00 **(3b) 23 23    x86

можно потерять x64

accelerator · 06.12.2010

проверить как это работает теперь можно только на gs регистре
к примеру мы берем значение 05
и кладем туда инструкцией
...
тем самым при трассировке в олге в edx мы получим 00 однако когда программа
работает в нормальном режиме не в отладчике эмуляторе, то в edx мы получим 05

Касперский эмулирует, на других ав не проверял.

500mhz · 06.12.2010

Грот

не работает твой каменный цветок на 7 в юсер моде :fie:

accelerator · 06.12.2010

500mhz что не работает? В отладчике 0 в регистре edx в Win7 юзермоде.

Добавлено в [time]1291659172[/time]
Или ты про последний семпл с прерываниями?

500mhz · 12.12.2010

я про это 1234.rar

Возвращение

karabas-barabas

(L1) cache

Вложения

Грот

RAID-массив

Вложения

r00f

CD-диск

accelerator

RAM

500mhz

(L1) cache

accelerator

RAM

500mhz

(L1) cache