膜拜玩SE的大神
lucious 发表于 2015-5-14 11:14
确实参考了这篇文章。他那里讲的并不是很清楚,说实话只是给所谓的高手看的。
新版本还可以的,乱序 ...
SE的VM是模仿着vmp来的,VM_rdstc取了随机值是为了给后面的vm_check选定一个校验范围,
s大这么做是为了清零随机值固定校验的地方,虽说vm_rdstc仅仅是返回了一个随机值,但这个随机值和校验是密不可分的。我说用来做完整性校验的我觉的没啥问题吧。
然后你可以试试新版本按着s大步骤patch一边,应该就会失败吧,
因为有个校验你至始至终没有提到,S大那个帖子也没有提到吧,可能在那个旧版本还有么那个校验点。
虽然shadow的构造时机什么的都没变。但是在细节上还是有变的。
欢迎继续探讨
还在继续学习se的系列。很多么有学会,继续支持楼主!
前两天看到上了,收藏了,谢谢
来看看第二部是怎么样子的
继续来收藏一下 SE在win7 和xp中不一样 啊
感谢,收下了
飘过 发表于 2015-5-14 16:13
继续来收藏一下 SE在win7 和xp中不一样 啊
是不一样的,64位的函数都不同,但是不同的也就是函数地址而已。
本帖最后由 lucious 于 2015-5-14 17:22 编辑
bracker 发表于 2015-5-14 13:42
SE的VM是模仿着vmp来的,VM_rdstc取了随机值是为了给后面的vm_check选定一个校验范围,
s大这么做是为了 ...
表示因为调试某可可手贱被格盘,没有用SP继续调试下去.SP确实和SE差别很大,至少在检测调试上,(SL)机器码还是没进步。问了一下现在还在玩的朋友,确实按照这个方法是不足以能够被完全调试的,但是检测线程一样能被全部anti掉,对于不需要脱壳的我们来说,已经足够了。更高深的技术我可能还需要继续学习,相比VM来说,这样的反调试已经算的上可爱了。
谢谢分享,楼主辛苦了。