[讨论]关于新版Themida/WL 2.1.0.10检测OD调试器-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于新版Themida/WL 2.1.0.10检测OD调试器

发表于: 2010-5-5 01:14 15204

[讨论]关于新版Themida/WL 2.1.0.10检测OD调试器

knightsoft 活跃值

2010-5-5 01:14

15204

有段跟踪的代码,好象是检测调试驱动的,我的OD执行到这里后就OVER了,进程终止了.猜想可能是这样检测OD的.希望能有高手指导修改调试驱动名称,谢谢!

测试样本壳版本 Themida /WL 2.1.0.10
代码如下:

在kernel32.lstrcmpiA函数下断，该函数用于比较调试器驱动名称和系统内驱动名称

00ED5C85 61                popad
00ED5C86 FF95 35E8700B       call dword ptr ss:[ebp+B70E835] ; kernel32.lstrcmpiA
00ED5C8C 6A 00             push 0
00ED5C8E 57                push edi
00ED5C8F E8 03000000       call dumped1.00ED5C97
00ED5C94 205F C3             and byte ptr ds:[edi-3D],bl
00ED5C97 5F                pop edi
00ED5C98 897C24 04          mov dword ptr ss:[esp+4],edi
00ED5C9C 814424 04 17000000 add dword ptr ss:[esp+4],17
00ED5CA4 47                inc edi
00ED5CA5 57                push edi
00ED5CA6 C3                retn

对比到这里的时候，若调试器驱动名称为"fengyue.sys"，则检测到OD调试器，进程终止，无法继续。经分析，该取值来源于注册表。

00ED5C06 6A 00          push 0
00ED5C08 53             push ebx                               ; dumped1.00EF20EE
ebx=00EF20EE (dumped1.00EF20EE), ASCII "fengyue.sys"

00ED5C09 E8 03000000    call dumped1.00ED5C11
00ED5C0E 205B C3       and byte ptr ds:[ebx-3D],bl
00ED5C11 5B             pop ebx
00ED5C12 895C24 04    mov dword ptr ss:[esp+4],ebx
00ED5C16 814424 04 1D000>add dword ptr ss:[esp+4],1D
00ED5C1E 43             inc ebx
00ED5C1F 53             push ebx
00ED5C20 C3             retn

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

001.jpg （307.56kb，739次下载）
002.jpg （299.66kb，739次下载）

收藏・6

免费・0

支持

最新回复 (8)
liuheqiang 雪币： 199 活跃值： (72) 能力值： ( LV7，RANK：110 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	liuheqiang 2 2 楼那你吧 SOD的驱动名称修改一下就可以了直接在SOD的配置文件里修改就可以了貌似VMP也会这样检测的只要改了名字重启一下好像就可以了 2010-5-5 23:16 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼我的截图里是已经修改了驱动名称还有窗体类名称的,注册表里相关的SYS残留也被清理干净了. 一样被Themida 2.1.0.10 检测到ANTI. 对于截图的再次说明: 第一张截图的内存窗口内容是检测的SYS驱动名称黑名单列表. 第二张截图的内存窗口内容是修改驱动名称后OD驱动SYS文件的绝对路径,该取值来自注册表通过两张截图分析,只要安装了修改版或原版OD并运行过,没有更改过驱动名称的,注册表中都会有SYS驱动名称的残留,就算你再次更改驱动名称,该残留名称仍存在.这个版本的TMD就是运用了取注册表驱动名称的方式结合进程探测实现了ANTI OD的效果. 在此感谢楼上同仁的热心解答,但疏忽了看截图内容,所以提供的方法仅供参考. 2010-5-6 00:14 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 4 楼再次试验，修改后的OD可以避开默认加密模式Themida 2.1.0.10的调试器检测。总结一下：用SOD隐藏OD，改窗体类名，更改CPU窗口类标识，更改SOD的驱动名称并在注册表中清除“fengyue.sys”的驱动名称（用XP的注册表编辑器的完全权限删除）。 2010-5-17 22:29 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 5 楼楼主，请问下sod的驱动名如何改？我看到我OD的PLUGIN目录下没有sod的配置文件。 2010-6-1 23:46 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 6 楼期待楼主解答下，是直接改strong.dll么？ 2010-6-2 00:13 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 7 楼 ollydbg.ini里面 [Plugin StrongOD] CreateProcessMode=2 HidePEB=1 IsPatchFloat=1 IsAdvGoto=1 KernelMode=1 KillPEBug=1 SuperEnumMod=1 AdvAttach=1 SkipExpection=0 HideWindow=1 HideProcess=1 ProtectProcess=1 DriverKey=-82692035 //* DriverName=mayi //*修改这两处 OrdFirst=0 BreakOnLdr=0 BreakOnTls=0 RemoveEpOneShot=0 ShowBar=17 LoadSym=0 2010-6-2 14:52 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 8 楼多谢疯子，你那个字是念疯么？ 2010-6-2 15:29 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 9 楼 [QUOTE=瘋子;817570]ollydbg.ini里面 [Plugin StrongOD] CreateProcessMode=2 HidePEB=1 IsPatchFloat=1 IsAdvGoto=1 KernelMode=1 KillPEBug=1 SuperEnumMod=1 AdvAttach=1 ...[/QUOTE] 修改完成后并在注册表中清除“fengyue.sys”的驱动名称（用XP的注册表编辑器的完全权限删除）。我给的截图里有检测驱动的名称列表。 2010-6-5 08:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

knightsoft

发帖

204

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
liuheqiang 雪币： 199 活跃值： (72) 能力值： ( LV7，RANK：110 ) 在线值：发帖 9 回帖 69 粉丝 0 关注私信	liuheqiang 2 2 楼那你吧 SOD的驱动名称修改一下就可以了直接在SOD的配置文件里修改就可以了貌似VMP也会这样检测的只要改了名字重启一下好像就可以了 2010-5-5 23:16 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 3 楼我的截图里是已经修改了驱动名称还有窗体类名称的,注册表里相关的SYS残留也被清理干净了. 一样被Themida 2.1.0.10 检测到ANTI. 对于截图的再次说明: 第一张截图的内存窗口内容是检测的SYS驱动名称黑名单列表. 第二张截图的内存窗口内容是修改驱动名称后OD驱动SYS文件的绝对路径,该取值来自注册表通过两张截图分析,只要安装了修改版或原版OD并运行过,没有更改过驱动名称的,注册表中都会有SYS驱动名称的残留,就算你再次更改驱动名称,该残留名称仍存在.这个版本的TMD就是运用了取注册表驱动名称的方式结合进程探测实现了ANTI OD的效果. 在此感谢楼上同仁的热心解答,但疏忽了看截图内容,所以提供的方法仅供参考. 2010-5-6 00:14 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 4 楼再次试验，修改后的OD可以避开默认加密模式Themida 2.1.0.10的调试器检测。总结一下：用SOD隐藏OD，改窗体类名，更改CPU窗口类标识，更改SOD的驱动名称并在注册表中清除“fengyue.sys”的驱动名称（用XP的注册表编辑器的完全权限删除）。 2010-5-17 22:29 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 5 楼楼主，请问下sod的驱动名如何改？我看到我OD的PLUGIN目录下没有sod的配置文件。 2010-6-1 23:46 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 6 楼期待楼主解答下，是直接改strong.dll么？ 2010-6-2 00:13 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 7 楼 ollydbg.ini里面 [Plugin StrongOD] CreateProcessMode=2 HidePEB=1 IsPatchFloat=1 IsAdvGoto=1 KernelMode=1 KillPEBug=1 SuperEnumMod=1 AdvAttach=1 SkipExpection=0 HideWindow=1 HideProcess=1 ProtectProcess=1 DriverKey=-82692035 //* DriverName=mayi //*修改这两处 OrdFirst=0 BreakOnLdr=0 BreakOnTls=0 RemoveEpOneShot=0 ShowBar=17 LoadSym=0 2010-6-2 14:52 0
piratelzs 雪币： 236 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 87 粉丝 1 关注私信	piratelzs 8 楼多谢疯子，你那个字是念疯么？ 2010-6-2 15:29 0
knightsoft 雪币： 111 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 204 粉丝 0 关注私信	knightsoft 9 楼 [QUOTE=瘋子;817570]ollydbg.ini里面 [Plugin StrongOD] CreateProcessMode=2 HidePEB=1 IsPatchFloat=1 IsAdvGoto=1 KernelMode=1 KillPEBug=1 SuperEnumMod=1 AdvAttach=1 ...[/QUOTE] 修改完成后并在注册表中清除“fengyue.sys”的驱动名称（用XP的注册表编辑器的完全权限删除）。我给的截图里有检测驱动的名称列表。 2010-6-5 08:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复