论坛 › TTProtect › TTProtect ANIT 原理小窥

bujin888 发表于 2008-6-19 22:33:58

TTProtect ANIT 原理小窥

TTProtect OD载入无法识别PE  

没办法 自己的OD 调试自己的OD 发现 TTProtect 的部分思路

TLS+文件头变异

具体调试思路如下
忽律文件头识别错误
修改自己的OD
0045DCD3    837D F4 02      CMP DWORD PTR SS:,2
0045DCD7    75 13           JNZ SHORT ICY.0045DCEC         //改为JMP
0045DCD9    8D4E 50         LEA ECX,DWORD PTR DS:
0045DCDC    51              PUSH ECX
0045DCDD    68 EAC14B00     PUSH ICY.004BC1EA
0045DCE2    E8 3563FFFF     CALL ICY._Error
0045DCE7    83C4 08         ADD ESP,8

然后调试设置改为系统断点
载入 TTProtect.exe  F8过 进入ntdll.dll 的TLS处理流程  执行到返回 进入TLS CALLBACK

crackforchina 发表于 2008-6-19 23:30:31

继续呀，看看你最快要多少时间

unpackcn12 发表于 2008-6-19 23:43:30

什麽東西都經不起折騰啊

crackforchina 发表于 2008-6-20 01:25:21

原帖由 unpackcn12 于 2008-6-19 23:43 发表 http://www.unpack.cn/images/common/back.gif
什麽東西都經不起折騰啊

修正为：什麽東西都經不起牛X們的折騰啊

zhucheba 发表于 2008-6-20 08:17:05

原帖由 crackforchina 于 2008-6-20 01:25 发表 http://bbs.unpack.cn/images/common/back.gif


修正为：什麽東西都經不起牛X們的折騰啊
再修正为：什麽東西都經不起牛的折騰啊:lol

bjbllzchk 发表于 2009-3-25 00:14:21

偶来瞅瞅

每天看帖，不断进步。。。

tfrist 发表于 2009-3-29 11:45:39

学习中

chyx 发表于 2010-1-24 17:03:08

每天看帖，不断进步。。。

查看完整版本: TTProtect ANIT 原理小窥