本帖最后由 bracker 于 2015-5-14 18:37 编辑
lucious 发表于 2015-5-14 17:20
表示因为调试某可可手贱被格盘,没有用SP继续调试下去.SP确实和SE差别很大,至少在检测调试上,(SL)机 ...
既然你这么说了那就没必要深入说下去,sl是带授权的sp壳的部分是和sp一样的,至于你说sp和se的反调试差别很大不知是如何得出的?sp和se总体上来看框架是一样,还是细节上有差异,se很多地方都是固定代码没有多态代码,但是sp用了多态代码。去掉检测线程只需shadow的CreateThread函数头ret 即可,你做这么多,又是补码又是设置线程环境,其实不就是为了可以在壳段用硬件断点和可以单步么,这些都是为调试壳段做准备。照你说如果只是为了调试原应用的代码,完全不用这么复杂。其实最后为了可以调试壳段的解决办法就是patch OD了。
看起来好厉害
学习学习大神的牛逼作品{:5_189:}膜拜一下
晚上发贴,必须顶{:5_123:}
前两天看到上了,收藏了,谢谢{:5_117:}
{:5_116:}学习新技能ING
bracker 发表于 2015-5-14 18:33
既然你这么说了那就没必要深入说下去,sl是带授权的sp壳的部分是和sp一样的,至于你说sp和se的反调试差别 ...
好吧,可能是我理解的不够深。
好给力的老师,么么哒,太感谢老师,有你更精彩。
这样子的好东西怎么能够不顶
继续努力学习之中了