检测softice致电int的3 h
这是一个最知名的反调试伎俩,它是用后门softice本身。 它在所有版本的windows操作系统,它是基于呼唤int的3 h与选民登记册载有以下值: eax环境音效技术= 4小时和时序= 4243484bh 。 这实际上是" bchk "字符串。 如果softice是活跃于记忆, eax环境音效技术,将登记册包含价值以外的其他4 。 这一招经常被用在守则中的各种压缩和编码的节目,而这是人所共知的,因为它的广泛使用。 当用得不好,可能会带来麻烦,甚至为较资深的饼干。 0.386 。示范单位,约定 当地人跳 unicode的= 0 包括w32.inc extrn setunhandledexceptionfilter :过程。数据message3 message2 delayesp以前。典分贝"探测致电int的3 h " , 0分贝" softice发现" , 0分贝" softice没有找到" , 0 0署副署长 ;就业登记,是已储存在这里。 房屋署副署长0 ;就业登记,将可节省地址的 ;以前seh酶服务。 开始: ;------------------------------------------------- ----------------------------------------------- -;集s eh酶在案件错误 ;------------------------------------------------- ------------------------------------------------ 限压器[ delayesp ] ,电除尘器 推抵销误差 请setunhandledexceptionfilter 限压器[上一页] , eax环境音效技术 ;------------------------------------------------- ------------------------------------------------ ;新地址为结构化异常处理( seh酶) ,是一套在这里,以确保在案件的一个 ;误差,该程序将继续从一个错误标签,并会为此正确。 这是很重要的 ;例如,如果该计划来电打断说,将演出的唯一正确,如果softice ;是活跃,但会造成失误,并坠毁节目,如果softice不活跃。 ;最后,上届seh酶服务地址是岸。 ;------------------------------------------------- -------------------------- eax环境音效技术,四限压器的时序性, " bchk有" int的3 h推eax环境音效技术; "神秘"的价值被发现;是否softice活跃 ;呼唤int的3 h中断;节约返回值 ;------------------------------------------------- ------------------------------------------------ ;集以往seh酶服务 ;------------------------------------------------- ------------------------------------------------推动dword ptr [上一页] 请setunhandledexceptionfilter ;------------------------------------------------- ------------------------------------------------ ;集原seh酶服务地址 ;------------------------------------------------- --------------------------弹出eax环境音效技术中医eax环境音效技术, 4 jnz跳转继续: ;恢复返回值 ;测试看看是否eax环境音效技术,是改变;如果它变了, softice是积极的;在记忆体 请messageboxa , 0 ,抵消message2 , \抵消message1 , 0 ;------------------------------------------------- ------------------------------------------------ ;如果返回值是4 softice没有被发现和程序将打印出一个错误信息。 ;------------------------------------------------- --------------------------请exitprocess , -1 ;完计划 跳跃: 请messageboxa , 0 ,抵消message3 , \抵消message1 , 0 ;------------------------------------------------- ------------------------------------------------ ;显示一个讯息,就是softice被发现;任何代码可以遵循了这一点。 ;------------------------------------------------- --------------------------请exitprocess , -1 ;完计划 错误: ;开始一个新的seh酶的服务案件是一个错误。 限压器电除尘器, [ delayesp ] 推抵销继续ret ;------------------------------------------------- ------------------------------------------------ ;如果发生错误,在计划, seh酶将确保该计划将继续从;错误标签。 ;------------------------------------------------- ------------------------------------------------完 年底动工 ;年底节目 这是一篇文章说,由萨姆帕特隆
|
|||
|