首页
社区
课程
招聘
[原创]让 Safengine Shielden 2.0.3.0 可受调试
发表于: 2011-2-28 13:05 162515

[原创]让 Safengine Shielden 2.0.3.0 可受调试

2011-2-28 13:05
162515

已测环境 :
  XP SP2 ' SP3
  原版 OD + StrongOD 0.4.1.716

这个壳最近好像很夯. 最常见到的帖子就是 "无法下断点"
壳用的方法虽非首创, 但用得好杀伤力很大.
研究一个壳若 *无法下断点 的话, 只能在上面飞来飞去的,
这是不行的, 没办法研究的.

后面会提供一个附件(一个Crackme), 正常 Run 起会有 8 个 Thread.
Main Thread 不说, 其它全是 Anti 调试.

这时刚好可先确定你的 OD 不下任何断点时, 按 F9 能执行起来才行.
否则请先检查你的 OD.

原理可能你下面的内容边看就能边了解到了.

----
开始
----

用OD载入后要怎么弄呢? 首先我们在 KiUserExceptionDispatcher 的第 1 条
指令按 F2 设软断, 按 F9 Run

 第 1 次断下时, 此时 : [ESP+8]=80000003
   此时模块己 Shadow 进来, 且尚未建立 Anti 的 Thread

 第 2 次断下时, 此时 : [ESP+8]=80000004
   看 CPU 窗口, 记下 Dr0~3 四个值.
   看 Stack 窗口, 记下 [ESP+14] 值. 此样本为 42F765
   
 这 5 个值为这 Case 专用的.

OD 重新载入 ...
断'停在第 1 次 KiUserExceptionDispatcher , 不要乱动.
完成下面5项,就任你调试了.

(1)
 在内存里找 CreateThread 的 Shadow :
 癈了他. 请将第一条指令改成 ret 18, 如 :

shadow_CreateThread
00D1FB55   8BFF         mov   edi, edi      ;改成 ret 18
00D1FB57   55           push  ebp
00D1FB58   8BEC         mov   ebp, esp
00D1FB5A   FF75 1C      push  dword ptr [ebp+1C]
00D1FB5D   FF75 18      push  dword ptr [ebp+18]
00D1FB60   FF75 14      push  dword ptr [ebp+14]
00D1FB63   FF75 10      push  dword ptr [ebp+10]
00D1FB66   FF75 0C      push  dword ptr [ebp+C]
00D1FB69   FF75 08      push  dword ptr [ebp+8]
00D1FB6C   6A FF        push  -1
00D1FB6E   E8 D9FDFFFF  call  00D1F94C
00D1FB73   5D           pop   ebp
00D1FB74   C2 1800      ret   18
Shadow_GetThreadContext
00D488DD     8BFF            mov     edi, edi
00D488DF     55              push    ebp
00D488E0     8BEC            mov     ebp, esp
00D488E2     FF75 0C         push    dword ptr [ebp+C]
00D488E5     FF75 08         push    dword ptr [ebp+8]
00D488E8     FF15 EA0ED100   call    [D10EEA]
00D488EE     85C0            test    eax, eax
00D488F0     0F8C 57B60000   jl      00D53F4D
00D488F6     33C0            xor     eax, eax
00D488F8     40              inc     eax
00D488F9     5D              pop     ebp
00D488FA     C2 0800         ret     8      ;jmp 00E41F90
00D488FD     90              nop
00D488FE     90              nop
00D488FF     90              nop
00D48900     90              nop
00D48901     90              nop
00E41F90     50          push   eax
00E41F91     8B4424 0C   mov    eax, [esp+C]
00E41F95     8038 10     cmp    byte ptr [eax], 10
00E41F98     75 16       jnz    short 00E41FB0
00E41F9A     33D2        xor    edx, edx
00E41F9C     8950 04     mov    [eax+4], edx   ;clr Dr0~3
00E41F9F     8950 08     mov    [eax+8], edx
00E41FA2     8950 0C     mov    [eax+C], edx
00E41FA5     8950 10     mov    [eax+10], edx
00E41FA8     52          push   edx
00E41FA9     6A 04       push   4               ;Index
00E41FAB     E8 457C9C7B call   kernel32.TlsSetValue
00E41FB0     58          pop    eax
00E41FB1     C2 0800     ret    8
  mov     al, 1
  ret     8
vm.ds:[imm]

0042F763    8B01      mov   eax, [ecx]      ;jmp 00534FC5
0042F765    8D1C33    lea   ebx, [ebx+esi]
0042F768  ^ 7E B9     jle   short 0042F723
0042F76A  ^ 7F CB     jg    short 0042F737

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (138)
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
2
膜拜
123456

原来大S爱好滴蜡啊
2011-2-28 13:15
0
雪    币: 2105
活跃值: (424)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
拜模123456
2011-2-28 13:17
0
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
好耐冇見!。
2011-2-28 13:23
0
雪    币: 129
活跃值: (53)
能力值: ( LV9,RANK:220 )
在线值:
发帖
回帖
粉丝
5
膜拜654321
2011-2-28 13:26
0
雪    币: 2242
活跃值: (488)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
6
同膜123456
2011-2-28 13:28
0
雪    币: 596
活跃值: (449)
能力值: ( LV12,RANK:320 )
在线值:
发帖
回帖
粉丝
7
再膜654321
2011-2-28 13:30
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
8
膜拜s阿门
2011-2-28 13:31
0
雪    币: 147
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
膜拜 。 学习了!
2011-2-28 13:38
0
雪    币: 358
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
上面都在膜拜
2011-2-28 13:49
0
雪    币: 1731
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
只要膜拜的分123456
2011-2-28 13:53
0
雪    币: 317
活跃值: (13)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
膜拜654321
2011-2-28 13:54
0
雪    币: 576
活跃值: (1163)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
13
阿门~
2011-2-28 14:20
0
雪    币: 1556
活跃值: (310)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
14
只能不懂 完全膜拜
2011-2-28 14:51
0
雪    币: 1346
活跃值: (2331)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
15
汗,论坛有你,没人敢写壳了
2011-2-28 15:01
0
雪    币: 177
活跃值: (471)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
大S威武。。学习
2011-2-28 15:40
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
17
自从我吃了曱壳素, 不但脑子变聪明了
痣窗没了, 人也更加漂亮了
2011-2-28 15:41
0
雪    币: 136
活跃值: (105)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
18
  太给力了 膜拜下吧
2011-2-28 16:19
0
雪    币: 326
活跃值: (88)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
19
排队膜拜....123456
2011-2-28 19:08
0
雪    币: 223
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
高手啊  
2011-2-28 19:15
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
21
等W哥出个4核的看你怎么办
2011-2-28 19:30
0
雪    币: 238
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
只能排队膜拜。
2011-2-28 19:40
0
雪    币: 10960
活跃值: (2920)
能力值: ( LV5,RANK:71 )
在线值:
发帖
回帖
粉丝
23
膜拜,不知跟世界第一强壳比如何?
2011-2-28 19:50
0
雪    币: 375
活跃值: (12)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
24
无法学习,只能膜拜。
2011-2-28 20:00
0
雪    币: 2882
活跃值: (1272)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
25
只能膜拜s牛太强了
2011-2-28 20:07
0
游客
登录 | 注册 方可回帖
返回
//