26

[虚伪]PEiD 的 bug

forgot 2007-8-10 14:21 8213
试一下编译下面的程序用 PEiD 扫描,然后点 FirstBytes 旁边的 -> 按钮:


                        .386
                        .model  flat, stdcall
                        locals  __

                        .code

start:                  
                        db      (200h - 1) dup(0C3h)
                        db      00

                        end     start



这是因为 PEiD 反汇编引擎没有对内存检查,

前面 1FFh 个 retn 指令反汇编结束后来到段末尾的 00 字节,

00 代表 add ...,一个字节不是完整的指令,反汇编读取下一字节的时候因为没有相应的内存分配,所以非法了。
最新回复 (17)
10
Isaiah 2007-8-10 14:26
2
学习~~~~
17
cyclotron 2007-8-10 16:12
3
这都能挖出来
在alignment边界上任何不完整指令都可以引爆?
ZwContinue 2007-8-10 16:50
4
支持挖墙脚。。
2
不懂算法 2007-8-10 17:00
5
以后不敢随便拿PEiD扫PE文件了,怕怕哟
16
firstrose 2007-8-10 19:29
6
好帖!

anti-peid,呵呵
skyhits 2007-8-10 21:04
7
楼上的都有灌水的嫌疑,
拿forget的代码用masm编译,不认“locals  __”这个
我不知道是干吗的,看看forget说的原理,应该和locals  __没有关系吧,去掉locals  __
编译成功,用peid0.94原版和汉化版查,都没有出现问题啊
到底locals  __是什么啊 我不知
10
Isaiah 2007-8-11 01:11
8
试一下编译下面的程序用 PEiD 扫描,然后点 FirstBytes 旁边的 -> 按钮:
skyhits 2007-8-11 11:01
9
[QUOTE=Isaiah;344329]试一下编译下面的程序用 PEiD 扫描,然后点 FirstBytes 旁边的 -> 按钮: [/QUOTE]

我还不至于连,然后点 FirstBytes 旁边的 -> 按钮: 也没看到

我去掉了loacals __
不然不能在masm32V8中编译

结果是米有问题 正常反汇编
4
skylly 2007-8-11 12:28
10
无聊的人,做无聊的事
26
forgot 2007-8-11 13:36
11
ls 是不是把两把刀搞混了。
4
skylly 2007-8-11 13:49
12
出于对林妹妹的极度BS。
26
forgot 2007-8-11 14:22
13
佩服就算林妹妹香消玉殒了也要一起鄙视的精神。顺便鄙视lxfdkt。
skyhits 2007-8-11 20:17
14
我疑惑啊 难道0.94无此bug?
点名 forget 答我
李晓灿 2007-8-12 00:19
15
嘿嘿~ 不错 学习了
11
zhuwg 2007-8-14 12:02
16
无聊得时候挖掘peid得bug 哈哈
余洁 2008-2-10 10:45
17
好厉害啊    楼主
wx_夜晚的星星 2017-8-12 20:33
18
涨知识了
返回