[原创]腾讯2010竞赛第三阶段题目思路+代码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]腾讯2010竞赛第三阶段题目思路+代码

2010-11-22 10:18 14752

[原创]腾讯2010竞赛第三阶段题目思路+代码

exile

2010-11-22 10:18

14752

本文使用注入DLL设置硬件断点以及模拟执行指令的方式来记录API调用。流程如下：

1，将EXE自身复制一份，修改入口点和DLL标志，变成xixihaha.dll。
2，将xixihaha.dll注入目标进程。
3，DLL会挂钩以下5个函数：

VOID HookLdrLoadDll();  //分析新载入模块的导出表
VOID HookCsrNewThread();  //对新创建的线程下硬件断点
VOID HookKiUserExceptionDispatcher(VOID); //处理异常
VOID HookZwGetContextThread(); //防止硬件断点检测1
VOID HookZwSetContextThread(); //防止清除硬件断点

4，对所有模块的导出表进行分析，将所有信息记录到全局数组，并对第一个要监视的API下硬件断点。
5，硬件断点断下来后，分析API的返回地址，如果是EXE调用该API，说明要监视的第一个API被调用，开始模拟执行EXE的指令。
6，如果不是EXE调用，则对返回地址下断，执行到返回后，再对第一个API下断。
7，模拟执行指令过程中，如果EIP不在EXE内，则分析此地址对应的API名称，获取第二个API。

PS：
1，模拟执行指令没有加入大循环代码块的分析，否则，速度应该会再快一点
2，通过Hook KiUserExceptionDispatcher来处理异常，而不是通过调试器和设置ExceptionHandler，可以避免目标程序的大部分检测。首先分析异常是否是我们要处理的类型，如果是，直接处理然后返回（不再调用原始的异常处理），如果不是，首先将DRX寄存器清掉，然后再调用原始的异常处理，调用完毕后，再将DRX寄存器内容恢复。

exile.rar

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#调试逆向

上传的附件：

exile.rar （58.94kb，252次下载）

收藏・12

点赞・6

打赏

最新回复 (21)
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2010-11-22 10:28 2 楼 0 第一时间前来膜拜
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 18 回帖 311 粉丝 3 关注私信	accessd 2 2010-11-22 11:11 3 楼 0 把这5个函数放到内核中挂钩就更完美了，这样就可以防止测试程序使用sysenter指令绕过这几个函数。另外，楼主hook了KiUserExceptionDispatcher，忘记hook ZwContinue了。这个答案居然才得了第三真的挺亏的。另外, "xixihaha"这个名字好熟悉啊.........
Esper 雪币： 279 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 31 粉丝 0 关注私信	Esper 2010-11-22 11:11 4 楼 0 做的真好阿, 膜拜
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 522 粉丝 0 关注私信	StudyRush 3 2010-11-22 11:19 5 楼 0 纯粹的膜拜，向大牛学习。
wuwenyao 雪币： 338 活跃值： (95) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 25 粉丝 0 关注私信	wuwenyao 2 2010-11-22 13:09 6 楼 0 来膜拜的，下载看看如何模拟指令运行和异常处理
qwangwei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	qwangwei 2010-11-23 10:54 7 楼 0 牛人，看不懂！！。。。
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 2010-11-23 11:10 8 楼 0 果然强..不过个人不喜欢使用喜用系统API.能手动实现的全部自己实现..竞赛什么的完全没兴趣..没RMB绝对不乱搞- -!`..
djxh 雪币： 1675 活跃值： (594) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	djxh 2010-11-23 11:18 9 楼 0 这个牛B,下代码学习.感谢..
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 147 回帖 858 粉丝 0 关注私信	PEBOSS 2010-11-23 13:19 10 楼 0 好强大的代码
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 2010-11-23 17:31 11 楼 0 学习思路...
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 55 回帖 519 粉丝 15 关注私信	lelfei 23 2010-11-23 19:29 12 楼 0 前来学习+膜拜！
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 2010-11-28 18:53 13 楼 0 收下了,牛就是牛啊
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 2010-11-29 20:51 14 楼 0 向大牛学习。
ninymay 雪币： 147 活跃值： (101) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 217 粉丝 2 关注私信	ninymay 2 2011-1-12 14:43 15 楼 0 大多数写这类文章的高人,都只放片断源码,初学者往往无法顺利完成编程, 也有放了完整源码,但不讲编译条件,程度不好的还是无法完成,这样的学习效果有限, 像楼主这样把整个project发上来的真的很少,向楼主致敬
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 58 粉丝 0 关注私信	wesenwesen 2011-1-13 00:28 16 楼 0 运行了一下，在创建进程哪里可住了，然后DLL住进去没反应？
哪天会下雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	哪天会下雨 2011-1-13 02:46 17 楼 0 神秘人果然厉害
lyricC 雪币： 38 活跃值： (47) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 140 粉丝 0 关注私信	lyricC 2011-1-13 10:28 18 楼 0 腾讯2010竞赛第三阶段题目思路+代码感谢
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 58 粉丝 0 关注私信	wesenwesen 2011-1-16 00:26 19 楼 0 大伙在跑代码的时候能跑通吗？我的跑不通
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 664 粉丝 19 关注私信	房有亮 3 2011-1-16 12:05 20 楼 0 顶。。。楼主，这个很不错
chinahanwu 雪币： 1231 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	chinahanwu 2011-1-20 10:17 21 楼 0 其中有太多的东西需要慢慢消化，先感谢LZ一下，顺便问一句：HOOK的时候使用PUSH RET指令返回真实DLL领空，而不是直接用JMP，原因是怕被检测到JMP吧？
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 2011-1-21 10:16 22 楼 0 学习+膜拜！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

exile

发帖

1269

回帖

RANK

关注

私信

他的文章

解题过程

[原创]发一个重定向hosts文件的方法

[原创]腾讯2010竞赛第三阶段题目思路+代码

[原创]答案来了

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2010-11-22 10:28 2 楼 0 第一时间前来膜拜
accessd 雪币： 1115 活跃值： (122) 能力值： ( LV7，RANK：100 ) 在线值：发帖 18 回帖 311 粉丝 3 关注私信	accessd 2 2010-11-22 11:11 3 楼 0 把这5个函数放到内核中挂钩就更完美了，这样就可以防止测试程序使用sysenter指令绕过这几个函数。另外，楼主hook了KiUserExceptionDispatcher，忘记hook ZwContinue了。这个答案居然才得了第三真的挺亏的。另外, "xixihaha"这个名字好熟悉啊.........
Esper 雪币： 279 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 31 粉丝 0 关注私信	Esper 2010-11-22 11:11 4 楼 0 做的真好阿, 膜拜
StudyRush 雪币： 678 活跃值： (101) 能力值： ( LV2，RANK：150 ) 在线值：发帖 11 回帖 522 粉丝 0 关注私信	StudyRush 3 2010-11-22 11:19 5 楼 0 纯粹的膜拜，向大牛学习。
wuwenyao 雪币： 338 活跃值： (95) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 25 粉丝 0 关注私信	wuwenyao 2 2010-11-22 13:09 6 楼 0 来膜拜的，下载看看如何模拟指令运行和异常处理
qwangwei 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	qwangwei 2010-11-23 10:54 7 楼 0 牛人，看不懂！！。。。
nonoxx 雪币： 113 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 116 粉丝 0 关注私信	nonoxx 2010-11-23 11:10 8 楼 0 果然强..不过个人不喜欢使用喜用系统API.能手动实现的全部自己实现..竞赛什么的完全没兴趣..没RMB绝对不乱搞- -!`..
djxh 雪币： 1675 活跃值： (594) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	djxh 2010-11-23 11:18 9 楼 0 这个牛B,下代码学习.感谢..
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 147 回帖 858 粉丝 0 关注私信	PEBOSS 2010-11-23 13:19 10 楼 0 好强大的代码
aiie 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 0 关注私信	aiie 2010-11-23 17:31 11 楼 0 学习思路...
lelfei 雪币： 6051 活跃值： (1441) 能力值： ( LV15，RANK：1473 ) 在线值：发帖 55 回帖 519 粉丝 15 关注私信	lelfei 23 2010-11-23 19:29 12 楼 0 前来学习+膜拜！
cumac 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	cumac 2010-11-28 18:53 13 楼 0 收下了,牛就是牛啊
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 2010-11-29 20:51 14 楼 0 向大牛学习。
ninymay 雪币： 147 活跃值： (101) 能力值： ( LV8，RANK：120 ) 在线值：发帖 9 回帖 217 粉丝 2 关注私信	ninymay 2 2011-1-12 14:43 15 楼 0 大多数写这类文章的高人,都只放片断源码,初学者往往无法顺利完成编程, 也有放了完整源码,但不讲编译条件,程度不好的还是无法完成,这样的学习效果有限, 像楼主这样把整个project发上来的真的很少,向楼主致敬
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 58 粉丝 0 关注私信	wesenwesen 2011-1-13 00:28 16 楼 0 运行了一下，在创建进程哪里可住了，然后DLL住进去没反应？
哪天会下雨雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 0 关注私信	哪天会下雨 2011-1-13 02:46 17 楼 0 神秘人果然厉害
lyricC 雪币： 38 活跃值： (47) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 140 粉丝 0 关注私信	lyricC 2011-1-13 10:28 18 楼 0 腾讯2010竞赛第三阶段题目思路+代码感谢
wesenwesen 雪币： 231 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 58 粉丝 0 关注私信	wesenwesen 2011-1-16 00:26 19 楼 0 大伙在跑代码的时候能跑通吗？我的跑不通
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 664 粉丝 19 关注私信	房有亮 3 2011-1-16 12:05 20 楼 0 顶。。。楼主，这个很不错
chinahanwu 雪币： 1231 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	chinahanwu 2011-1-20 10:17 21 楼 0 其中有太多的东西需要慢慢消化，先感谢LZ一下，顺便问一句：HOOK的时候使用PUSH RET指令返回真实DLL领空，而不是直接用JMP，原因是怕被检测到JMP吧？
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 2011-1-21 10:16 22 楼 0 学习+膜拜！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复