اكتشاف سوفت ايس عن طريق البحث الذاكرة

Share

|

هذا الكشف تفتيش ذكرى v86 في طريقه لwinice.br الخيط. لأن هذه الطريقة تستخدم بشكل نادر ، فهو يستحق النظر ، رغم انه لا يمكن استخدامها الا في ويندوز C1.

هذا روتينيه يمكن بسهولة اخفاءها ، لانها لا تدعو الى استخدام (لا API ولا دولي). وهذا سيجعل من المستحيل لكشفه ، و، اذا كنت تستخدم جيدا ، فقد اكتشف أ - التنقيح محاولة لمهاجم لجعل البرنامج يستمر ، وقال انه سوف تضطر الى تغيير قانونها او السجل المحتويات.

اكتشاف محاولة التنقيح ، كل ما عليك القيام به هو التحقق من هذه الخدعه بعد لمعرفة ما اذا كانت تحتوي على سجلات حقا القيم التي ينبغي أن تتضمن ، وانت بحاجة الى اجراء اختبار لجنة حقوق الطفل لمعرفة ما اذا كان البرنامج المدونه قد تغيرت في الذاكرة. واذا سوفت ايس ليست نشطة في الذاكرة ، يا الفحص الروتيني سوف تصل دون مشاكل.

هذا أحد مساوئ هذه الطريقة هي انها تعمل بشكل جيد الا مع الاصدارات القديمة للسوفت آيس ، وخطأ سيحدث اذا واحد من أحدث اصدارات سوفت آيس 'sنشطة في الذاكرة.

  +0.386 

  . نموذج شقة ، stdcall الاهالي 

  قفزات 

  يونيكود = 0 

  وتشمل w32.inc 

  Extrn setunhandledexceptionfilter : proc. بيانات message2 message3 delayesp السابقة ديسيبل "الكشف بواسطة ذاكرة البحث" ، 0 ديسيبل "لم يتم العثور على سوفت آيس" ، 0 ديسيبل "سوفت آيس وجدت" ، 0 دد 0 ؛ فان اسبانيا وسجل ينقذ هنا دد 0 ؛ فان اسبانيا وسجل سينقذ العنوان لل 

  ؛ الخدمة السابقة معهم هنا. 

  . مدونة 

  تبدأ : 

  ؛------------------------------------------------- ------------------------------------------------ ؛ مجموعات قطيع في حالة وجود خطأ 

  ؛------------------------------------------------- ------------------------------------------------ 400mb] Delayesp] ، واسبانيا ودفع تعويض عن خطأ 

  الكلمه setunhandledexceptionfilter 400mb [السابقة] ، eax أرفع جامعة "ث" 

  ملف التبادل الالكتروني للبيانات ، 10000h ارفع ecx ، 400000h - 10000h اكثر : repnz scasb jecxz notfound 

  اصول dword رمز [التبادل الالكتروني للبيانات] ، "inic" jz found1 الرصد اكثر found1 : تضاف التبادل الالكتروني للبيانات ، 4 

  اصول dword رمز [التبادل الالكتروني للبيانات] ، "rb.e" jnz دفع أكثر كلمة رمز 1 

  الرصد قصيرة وجد notfound : دفع كلمة رمز 0 ؛ البحث عن الخيط في winice.br ؛ V86 الذاكرة ؛ هنا يبدأ البحث 

  ؛ يحدد عدد من بايت الى البحث 

  ؛ يبحث عن "ث" الخيط في الذاكرة ؛ واذا لم يتم العثور على الخيط ، ذاكرة البحث ؛ ينتهي لأن سوفت ايس ليست نشطة في الذاكرة.  ؛ عندما "ث" هو العثور على الخيط ، انظر الى هذه التجارب ؛ اذا كانت "inic" الخيط التالي.  ؛ وعندما ينتهي "inic" هو وجد 

  ؛ والا فانه تفتيش جميع الذاكرة 

  ؛ الخطوة التي اتخذتها 4 احرف (بايت) 

  ؛ عندما "winic" هو انه وجد شيكا لمعرفة ما اذا كانت ؛ "هاء - م ع" الخيط التالي 

  ؛ اذا لم يحصل ذلك ، فإن الذاكرة بحثا عن الغايات ؛ اذهب هنا اذا سوفت آيس دورا نشطا في الذاكرة و؛ انقاذ 1 الى الكومه الى اظهار ان سوفت آيس ؛ وجد. 

  ؛ اذهب هنا اذا لم يتم العثور على سوفت آيس في الذاكرة. 

  وجد : 

  ؛------------------------------------------------- ------------------------------------------------ ؛ مجموعات وكي الخدمة السابقة 

  ؛------------------------------------------------- ------------------------------------------------ دفع dword رمز [السابقة] 

  الكلمه setunhandleexceptionfilter 

  ؛------------------------------------------------- ------------------------------------------------ البوب الفأس اختبار الفأس ، والفأس jnz الوثب تواصل : ؛ عودة يعيد القيمه ؛ اختبارات لمعرفة ما اذا كانت عودة القيمه 1 ؛ اذا كان الامر كذلك ، لان البرنامج يقفز سوفت آيس هو ؛ نشطة. 

  الكلمه messageboxa ، 0 ، ويقابل message2 ، \ يقابل message1 ، 0 

  الكلمه exitprocess ، -1 

  الوثب : 

  الكلمه messageboxa ، 0 ، ويقابل message3 ، \ يقابل message1 ، 0 

  الكلمه exitprocess ، -1 

  خطأ : ؛ تبدأ الخدمة الجديدة تبان في حالة وجود خطأ 

  أرفع واسبانيا ، [delayesp] دفع تعويض عن مواصلة نقع 

  الغايات 

  نهاية البداية