[原创]OD被Anti的原因分析及应对之道-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]OD被Anti的原因分析及应对之道

发表于: 2009-12-2 22:21 113046

[原创]OD被Anti的原因分析及应对之道

tangjiutao 活跃值

2009-12-2 22:21

113046

本文链接：http://bbs.pediy.com/showthread.php?t=102366
OD载入程序就自动退出是比较恼人的，还没开始调试呢就退出了，这可让人如何是好。初学破解的人一定会遇到这个问题,怎样解决呢，网上虽然有零星的介绍但都不全面，以下是我总结的一些，希望能对各位初学者有所帮助。
（比如Peid、FI查壳查不到，OD一载入就退出，这极有可能是VMProtect的保护（虚拟机保护），用EXEinfo可以查出来一些版本的VMP，如果有这个提示那就更确定无疑了“A debugger has been found running in your system.Please, unload it from memory and restart your program”。）
1.更换几个OD试试，OllyICE、Shadow、加强版等
2.用附加的方式加载程序，文件-->附加,能解决很多问题
3.OD目录下，将475K 的DbgHelp.dll文件换成近1M大小的DbgHelp.dll文件，475K的有溢出漏洞，这条比较关键
4.使用StrongOD插件，（StrongOD+原版OD试试），这条比较关键
5.StrongOD中选择CreateAsRestrict
6.尝试命令bp ExitProcess，看能否发现什么线索
7.改变ollydbg.ini中的驱动名称，修改版的OD不需要自己改
DriverName                -    驱动文件名，设备对象名
DriverKey                   -    和驱动通信的key
HideWindow                - 是否隐藏窗口，1为隐藏，0为不隐藏
HideProcess                -    是否隐藏od进程，1为隐藏，0为不隐藏
ProtectProcess          -    是否隐藏保护Od进程，1为保护，0为不保护
8.改OD窗体类名，用的修改版的话一般都改过了，不需要自己再改
方法如下：
主窗体类名:
引用:
VA:004B7218
Offset:000B6018
各子窗体类名：
引用:
VA:004B565B ~ 004B568A
Offset:000B445B ~ 000B448A
改成任意，可以过GetWindow检测
9.手动修改程序“导出表”中的“函数名数目”值，上面方法不管用再试试它
方法：使用“LordPE”打开要编辑的PE程序，然后依次选择[目录]->[导出表对应的“..”按钮]，把“函数名数目”的值减1，并点击“保存”按钮，就OK了。为了好看些，也可以把“函数数目”和“函数名数目”的值都同时减1并保存，效果一样。
解释：一般情况下EXE不会加“导出表”，如果加了，就应该给出所导出的API函数。当我们打开这类PE程序(EXE版)时，会发现它存在“导出表”，但“导出表”中并没有导出的API函数。同时“函数数目”和“函数名数目”的值都比原PE程序设置的值大了1(如：EXE版“导出表”列表中显示了0个导出的API函数，壳将其“函数数目”和“函数名数目”的值都设置成了1；DLL版“导出表”列表中显示了0xD个导出的API函数，壳将其“函数数目”和“函数名数目”的值都设置成了0xE。)。所以我们将其减1，就OK了。被修改过的PE程序，可以正常运行，不会有任何影响。

这只是我的一点总结，附加方式加载、替换DBGHELP.DLL、使用StrongOD插件和修改导出表函数名数目的方法是可行的，能够解决一些问题。当然这些方法可能并不全面。

ANTI-OD原因解读：
概括来说：TLS回调函数在入口点之前执行，并进行了ANTI-OD的操作.
具体请看：TLS数据初始化和TLS回调函数都会在入口点之前执行，也就是说TLS是程序最开始运行的地方，因此可以在这里防止ANTI-OD的代码，检测并关闭OD。
应对方法：
  默认情况下OllyDbg载入程序将会暂停在入口点，应该配置一下OllyDbg使其在TLS回调被调用之前中断在实际的loader。
  通过“选项->调试选项->事件->第一次中断于->系统断点”来设置中断于ntdll.dll内的实际loader代码。这样设置以后，OllyDbg将会中断在位于执行TLS回调的ntdll!LdrpRunInitializeRoutines()之前的ntdll!_LdrpInitializeProcess()，这时就可以在回调例程中下断并跟踪了。例如：在内存映像的.text代码段上设置内存访问断点，就可以断在TLS回调函数里。

更多TLS内容请看我的两篇博文：
TLS回调函数，Anti-od原理分析：http://hi.baidu.com/tjt999/blog/item/1e9c4b49496c222808f7eff1.html
TLS回调函数，Anti-od实例： http://hi.baidu.com/tjt999/blog/item/13e7212e55e04c3f359bf7f3.html

更多反调试知识请看《脱壳的艺术》和我的
《各种反调试技术原理与实例》： http://bbs.pediy.com/showthread.php?t=106143
如需交流请进群：1684360

实例代码：程序见附件，用原版OD测试，参考了某位大虾的代码。
.386
.model flat,stdcall
option casemap:none
include windows.inc
include user32.inc
include kernel32.inc
includelib user32.lib
includelib kernel32.lib

.data?
dwTLS_Index dd  ?

OPTION DOTNAME
;; 定义一个TLS节
.tls  SEGMENT
TLS_Start LABEL  DWORD
dd 0100h dup ("slt.")
TLS_End LABEL  DWORD
.tls ENDS
OPTION NODOTNAME

.data
TLS_CallBackStart  dd  TlsCallBack0
TLS_CallBackEnd dd  0
szTitle          db  "Hello TLS",0
szInTls          db  "我在TLS里",0
szInNormal       db  "我在正常代码内",0
szClassName       db  "ollydbg"       ; OD 类名
;这里需要注意的是，必须要将此结构声明为PUBLIC,用于让连接器连接到指定的位置，
;其次结构名必须为_tls_uesd这是微软的一个规定。编译器引入的位置名称也如此。
PUBLIC _tls_used
_tls_used IMAGE_TLS_DIRECTORY <TLS_Start, TLS_End, dwTLS_Index, TLS_CallBackStart, 0, ?>

.code
;***************************************************************
;; TLS的回调函数
TlsCallBack0 proc Dllhandle:LPVOID,dwReason:DWORD,lpvReserved:LPVOID
   mov    eax,dwReason ;判断dwReason发生的条件
   cmp    eax,DLL_PROCESS_ATTACH  ; 在进行加载时被调用
   jnz    ExitTlsCallBack0
   invoke  FindWindow,addr szClassName,NULL  ;通过类名进行检测
   .if    eax    ;找到
         invoke SendMessage,eax,WM_CLOSE,NULL,NULL
   .endif
   invoke  MessageBox,NULL,addr szInTls,addr szTitle,MB_OK
   mov    dword ptr[TLS_Start],0
   xor    eax,eax
   inc    eax
ExitTlsCallBack0:
   ret
TlsCallBack0 ENDP
;****************************************************************
Start:
invoke MessageBox,NULL,addr szInNormal,addr szTitle,MB_OK
invoke ExitProcess, 1
end  Start

参考文献：
http://www.unpack.cn/viewthread.php?tid=35013&extra=page%3D1
......

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

dbghelp.rar （379.20kb，1306次下载）
StrongOD.v0.2.6.415.rar （209.96kb，1126次下载）
终结版.rar （1.92MB，2368次下载）
TLS_Antiod.rar （2.48kb，790次下载）

收藏・212

免费・7

支持

最新回复 (86) 1 2 3 4 ▶
adbrave 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	adbrave 2 楼恩，学习了，有几个方法还不知道呢 2009-12-2 23:04 0
AEVE 雪币： 1211 活跃值： (2755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 94 粉丝 0 关注私信	AEVE 3 楼这不是如果你OD被anti了吗? 2009-12-3 14:07 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 4 楼是的，这是我收集的对付anti-OD方法的总结 2009-12-3 14:53 0
zzxxaa 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zzxxaa 5 楼不错学习了嘿嘿 2009-12-6 11:37 0
刘觐肇雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 149 粉丝 0 关注私信	刘觐肇 6 楼挺不错的总结，lz辛苦了 2009-12-6 11:47 0
whuang 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	whuang 7 楼谢谢了，我下了一个终结版，能带壳调试了。 2009-12-7 14:51 0
sucheasy 雪币： 299 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 60 粉丝 0 关注私信	sucheasy 1 8 楼回复标记可怜继续够数完毕 2009-12-7 17:08 0
pojiertryb 雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	pojiertryb 9 楼有几个方法还不知道 2009-12-7 18:12 0
justforvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 0 关注私信	justforvb 10 楼有帮助记下了.多谢分享 2009-12-10 08:53 0
xiaosaner 雪币： 74 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	xiaosaner 1 11 楼我以前遇到过这种情况都不知道怎么办呢.. 相见恨晚. 2009-12-16 23:13 0
回忆的雪币： 211 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 12 楼很不错..., 2009-12-26 20:07 0
昨夜风雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	昨夜风 13 楼不错，，正遇到这个问题 2009-12-30 23:45 0
黑白程式雪币： 152 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	黑白程式 14 楼不错，以前就遇到到一加载就退出的情况，原来如此。 2009-12-31 09:24 0
zangai 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	zangai 15 楼恩谢谢了,就是vm每次调入都出错 2009-12-31 21:12 0
zmmkele 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 97 粉丝 0 关注私信	zmmkele 16 楼很好，收藏了有帮助 2009-12-31 23:06 0
zhaixz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zhaixz 17 楼我被ANTI了，正好学习下~~ 2010-1-2 13:41 0
未签收雪币： 827 活跃值： (385) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	未签收 18 楼楼主总结辛苦了,谢谢哈~ 2010-1-9 22:53 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 19 楼好帖，支持！！ 2010-1-12 17:17 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 20 楼公安笔录.udd.... 2010-1-12 17:46 0
wqccj 雪币： 390 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 0 关注私信	wqccj 21 楼谢谢楼主，分享....... 2010-1-16 23:39 0
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 22 楼恩谢谢了 2010-1-17 08:59 0
新手求教雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 49 粉丝 0 关注私信	新手求教 23 楼谢谢！现在可以调试软件了 2010-1-17 09:09 0
中专学历雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	中专学历 24 楼一遇强壳就被ANTI 好痛苦 2010-1-18 00:36 0
cjchome 雪币： 391 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	cjchome 1 25 楼我的OD没有DbgHelp.dll，下载一个加上去发现StrongOD也要更新了 2010-1-19 14:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tangjiutao

发帖

108

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (86) 1 2 3 4 ▶
adbrave 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	adbrave 2 楼恩，学习了，有几个方法还不知道呢 2009-12-2 23:04 0
AEVE 雪币： 1211 活跃值： (2755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 94 粉丝 0 关注私信	AEVE 3 楼这不是如果你OD被anti了吗? 2009-12-3 14:07 0
tangjiutao 雪币： 126 活跃值： (37) 能力值： ( LV2，RANK：140 ) 在线值：发帖 34 回帖 108 粉丝 1 关注私信	tangjiutao 3 4 楼是的，这是我收集的对付anti-OD方法的总结 2009-12-3 14:53 0
zzxxaa 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 146 粉丝 0 关注私信	zzxxaa 5 楼不错学习了嘿嘿 2009-12-6 11:37 0
刘觐肇雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 149 粉丝 0 关注私信	刘觐肇 6 楼挺不错的总结，lz辛苦了 2009-12-6 11:47 0
whuang 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	whuang 7 楼谢谢了，我下了一个终结版，能带壳调试了。 2009-12-7 14:51 0
sucheasy 雪币： 299 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 60 粉丝 0 关注私信	sucheasy 1 8 楼回复标记可怜继续够数完毕 2009-12-7 17:08 0
pojiertryb 雪币： 132 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	pojiertryb 9 楼有几个方法还不知道 2009-12-7 18:12 0
justforvb 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 0 关注私信	justforvb 10 楼有帮助记下了.多谢分享 2009-12-10 08:53 0
xiaosaner 雪币： 74 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 38 粉丝 0 关注私信	xiaosaner 1 11 楼我以前遇到过这种情况都不知道怎么办呢.. 相见恨晚. 2009-12-16 23:13 0
回忆的雪币： 211 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 54 粉丝 1 关注私信	回忆的 12 楼很不错..., 2009-12-26 20:07 0
昨夜风雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	昨夜风 13 楼不错，，正遇到这个问题 2009-12-30 23:45 0
黑白程式雪币： 152 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 61 粉丝 0 关注私信	黑白程式 14 楼不错，以前就遇到到一加载就退出的情况，原来如此。 2009-12-31 09:24 0
zangai 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	zangai 15 楼恩谢谢了,就是vm每次调入都出错 2009-12-31 21:12 0
zmmkele 雪币： 69 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 97 粉丝 0 关注私信	zmmkele 16 楼很好，收藏了有帮助 2009-12-31 23:06 0
zhaixz 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	zhaixz 17 楼我被ANTI了，正好学习下~~ 2010-1-2 13:41 0
未签收雪币： 827 活跃值： (385) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	未签收 18 楼楼主总结辛苦了,谢谢哈~ 2010-1-9 22:53 0
ouyangtian 雪币： 130 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 19 楼好帖，支持！！ 2010-1-12 17:17 0
xieyuzhe 雪币： 337 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	xieyuzhe 20 楼公安笔录.udd.... 2010-1-12 17:46 0
wqccj 雪币： 390 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 62 粉丝 0 关注私信	wqccj 21 楼谢谢楼主，分享....... 2010-1-16 23:39 0
nevsayno 雪币： 333 活跃值： (46) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 170 粉丝 1 关注私信	nevsayno 22 楼恩谢谢了 2010-1-17 08:59 0
新手求教雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 49 粉丝 0 关注私信	新手求教 23 楼谢谢！现在可以调试软件了 2010-1-17 09:09 0
中专学历雪币： 348 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 38 粉丝 0 关注私信	中专学历 24 楼一遇强壳就被ANTI 好痛苦 2010-1-18 00:36 0
cjchome 雪币： 391 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 102 粉丝 0 关注私信	cjchome 1 25 楼我的OD没有DbgHelp.dll，下载一个加上去发现StrongOD也要更新了 2010-1-19 14:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复