bitlock3.txt

关于黑客的论坛的下载资料

先声明一下，我可不是什么高手。

据我所知，BITLOK3.0采用的反SOFTICE for DOS的措施主要有下面几点：

1. 这是最常用的判断SOFTICE存在的方法：
        MOV SI，4647
        MOV DI，4A4D
        XOR AX，AX
        INT 3
        CMP SI，4647
        JNZ XXXX    <--退出程序

2. SOFTICE如果是在DOS命令行中载入的，它会接管INT15H AH=88H的调用，使自己的
代码不会被覆盖。但它只是在发生中断时才判断是否为上述调用，因此当程序间接调
用INT15H时，SOFTICE就不知道了。
        MOV AH，88
        INT 15
        MOV DX，AX
        PUSHF
        CALL FAR CS:[XXXX]  间接调用INT 15
        CMP DX, AX
        JNZ XXXX    <--退出程序

以上两种方法在BITLOK2.0中就已经有了。

3. BITLOK3.0中大量用了INT 1来做程式解码，它使SOFTICE在碰到这种INT 1时不停
的叫，并且SOFTICE在INT 1中又延时，所以跟死机一样。

4. BITLOK3.0还有十几层判断SOFTICE是否在COMMAND.COM之前驻留内存。具体指令我
就不说了，它扫描MCB，判断是否有"SOFTICE1","NUMEGA","S-ICE","EMMXXXX0"等等字
符串。如果有，它要视情况采取退出或死机。

5. BITLOK3.0还判断INT 3的入口指令是否为IRET。如果是，再判断入口地址是否为
0070:XXXX ，然后就...

6. ......

我忘了。:)

我所说的大家也许早都知道了吧。有一段时间不用SOFTICE for DOS了，希望各位大虾
也来谈一谈。

PAUL，为何不说说你的G3X是如何躲过BITLOK的呢？