老外的XPROTEXTOR加壳保护的软件.
这个脱和DBPE保护层次上差不多,但狠毒劲则比DBPE过之。我想DBPE为了兼容性一定也牺牲了不少加密性能吧。
总体上来说:
1,XPRO与DBPE一样,都是利用驱动程序来在WINNT系统上获得R0级权限。
2,XPRO截获所有异常,而DBPE只改INI3 AND INT2A。
3,XPRO在驱动内还采用了机器指令缓存的方法来ANTI-DEBUG。这一点是很重要的,如果不克服这个跟入驱动你就会发现:JMP EIP。这样的东西。
4,XPRO驱动程序设置为:SERVICE_AUTO_START 0x00000002
DBPE驱动程序为: SERVICE_DEMAND_START 0x00000003
这一点可以在注册表内的:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\xprotector\下看到
也就是说:XPRO的驱动程序是随系操作系统启动而启动的而DBPE的驱动则是程序控制启动。就是说,XPRO的驱动程序xprotector.sys在加壳程序运行结束后还是可以在\??\??\windows\system32\driver\这个文件夹中找到的,这一点上,XPRO就给了我们可以方便修改xprotector.sys的机会以对付ANTI-DEBUG代码和驱动内的花指令。
好象不是什么坏东西-.-
还有其他的吗?
