检测softice寻找记忆
这项检测是搜索内存在三种模式为winice.br字符串。 因为这种方法是很少使用,这是值得考虑的,但它只能用来在windows 9x的。 这项例行性,可以很容易隐藏,因为它不使用电话(既不是空气污染指数也int ) 。 这将使我们无法侦测,而且如果你用得好,可以发现一个调试,企图为攻击,使节目继续下去,他将不得不改变其代码或登记册上的内容。 发现调试的尝试,所有你需要做的是检查后,这种伎俩来看看,如果真的册包含的价值观念,他们应当载,你需要履行华润试验,看看如果程序代码已经被改变记忆体。 如果softice是不活跃,在记忆,你的例行检查,将运行没有任何问题。 这种方法的一个缺点是它运作良好,不仅与旧版本的softice ,错误会发生,如果其中一个softice的更新版本,是活跃于记忆。 0.386 。示范单位,约定本地人 跳到 unicode的= 0 包括w32.inc extrn setunhandledexceptionfilter :过程。数据message2 message3 delayesp以往分贝"检测内存搜索" , 0分贝" softice没有发现" , 0分贝" softice发现" , 0 0署副署长;就业登记,节省了这里房屋署副署长0 ;就业登记,将可节省地址的 ;以前seh酶服务。 。代码 开始: ;------------------------------------------------- ------------------------------------------------ ;套seh酶在案件错误 ;------------------------------------------------- ------------------------------------------------限压器[ delayesp ] ,电除尘器推向抵销误差 请setunhandledexceptionfilter限压器[上一页] , eax环境音效技术限压器基地, "宽" 限压器联通, 10000h限压器ecx , 400000h -1 0000h更多: r epnzs casbj ecxzn otfound 中医dword ptr [联通] , "门诊部"的坚贞found1就业选配计划更found1 :放入联通, 4 中医dword ptr [联通] , " rb.e " jnz更推词ptr一日 就业选配计划短期发现notfound :推字ptr 0 ;搜索为winice.br管柱;三种记忆;开始寻找在这里 ;明的字节数,以搜索 ;搜索一个"宽"字符串在记忆;如果字符串没有找到,记忆搜索;完,因为softice是不活跃,在记忆体。 ;当一个"宽"串发现,在这个测试,以见;对于是否将"门诊部"字符串如下。 ;结束时, "门诊部" ,是发现 ;否则,它搜索所有的记忆体 ;此举4字(字节) ;当" winic " ,是发现它检查,看看是否; "体育铷"字符串如下 ;如果不符合,记忆搜索完;到这里,如果softice是活跃在记忆和;节省1纳入栈,以证明softice ;被发现。 ;到这里,如果softice是不存在于记忆。 发现: ;------------------------------------------------- ------------------------------------------------ ;套以前seh酶服务 ;------------------------------------------------- ------------------------------------------------推动dword ptr [上一页] 请setunhandleexceptionfilter ;------------------------------------------------- --------------------------弹出斧试验斧,斧jnz跳转继续: ;恢复返回值;测试看看如果返回值是1 ;如果是的话,节目跳跃,因为softice是;活跃。 请messageboxa , 0 ,抵消message2 , \抵消message1 , 0 请exitprocess , -1 跳跃: 请messageboxa , 0 ,抵消message3 , \抵消message1 , 0 请exitprocess , -1 误差: ;开始一个新的seh酶的服务案件是一个错误 限压器电除尘器, [ delayesp ]推抵销继续ret 完 年底动工 这是一篇文章说,由萨姆帕特隆
|
|||
|