能力值:
( LV9,RANK:180 )
76 楼
我看完 xor_eax_eax_nop, 你步骤看起来是 ok 的
但...为何我 534FEC 写 popfd 你却是写 popad ?
00534FE5 pushfd
00534FE6 or word ptr [esp], 100
00534FEC popfd (你写popad)
00534FED nop
能力值:
( LV9,RANK:290 )
77 楼
[QUOTE=sessiondiy;938672]我看完 xor_eax_eax_nop, 你步骤看起来是 ok 的
但...为何我 534FEC 写 popfd 你却是写 popad ?
00534FE5 pushfd
00534FE6 or word ptr [esp], 100
00534FEC ...[/QUOTE]
这是个笔误,当时没有注意。
现在已经修改成popfd了,其他步骤不变,但和以前一样了。跑起来以后,还是有错误提示.
提示如下:
上传的附件:
能力值:
( LV9,RANK:180 )
78 楼
你用 xor eax_eax_nop 的方式录个没写错而出现这讯息的录像来看看
(前提请先确定 OD 不下断点可直接 run 起这 sample)
能力值:
( LV9,RANK:290 )
79 楼
在没有设任何断点的情况下,可以直接跑起
这次是直接改的vm rdtsc,但还是有同样的错误。
另:对于这个vm rdtsc查找,有什么好方法呢?
一直想用第二种驱动hook的方式,目的是想,换个试练品也可以通用。
http://u.115.com/file/f9df26260d#
xor_eax_eax_nop_popfd_.rar
能力值:
( LV9,RANK:180 )
80 楼
你是 xp sp2 吧. 我写了个脚本, 适用于这 sample (但很好移植)
你须先设好第1行的 ShadowMemBase 的值.
OD 载入 exe
第1次停在 KiUserExceptionDispatcher 时, 执行此脚本.
然后你试着硬断R/W 401020
若可以的话我再告诉你问题可能出在那里.
PS. 你要用 .sys 当然可以. 只是我想排除你一些其它因素.
上传的附件:
能力值:
( LV9,RANK:290 )
81 楼
先占位,有问题再反馈
我用的系统是深度xp-sp3
开始直接用脚本,提示 CreateThread not found,后来,修改了一个查找的语句。
把 Find ShadowMemBase, #8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????5DC218009090909090#
改成了
Find ShadowMemBase, #8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????#
之后,脚本可以正常执行。中间没有其他提示了。
接着,对401020下硬件访问断点。
结果和之前的一样。程序跑起来后,还是提示说 “发生内部错误”。
此时机器上也没有安什么特别的软件。
能力值:
( LV9,RANK:180 )
82 楼
那我就不知道了. 我的系统是 xp sp2 , 试了 2 台都是 ok 的.
ps. 我anti anti用的插件只有 StrongOD 4.1.716 选项全选.
OD的忽略例外也是全选
1. 发生内部错误时, 你看一下 Thread, 应该只有一个.
2.你脚本跑完后, KiUserExceptionDispatcher 软断先不要拿掉
若之后断在 KiUserExceptionDispatcher 时的 [esp+14] 没见过 534FEE
的话, 表示 popf nop 单步中断被吃掉了.
你先确认以上吧.
再不行的话你只好自行研究问题点了.
能力值:
( LV9,RANK:290 )
83 楼
1.是只有一个
Threads, item 0
Ident=00000A04 (main)
Entry=005345D0
Data block=7FFDF000
Last error=ERROR_SUCCESS (00000000)
Status=Active
Priority= 32 + 0
User time= 0.9218 s
System time= 0.0781 s
2.跑完脚本,第2次断在
KiUserExceptionDispatcherrg 时,[esp+14]值是534fee
能力值:
( LV6,RANK:90 )
84 楼
膜拜123456
能力值:
( LV9,RANK:180 )
85 楼
见鬼了
那你剩 GetThreadContext 的 Shadow 要查了
往后找是不是还有同样的代码. 以防找错.
及确定有执行到
能力值:
( LV9,RANK:290 )
86 楼
这个按脚本中的代码查找,在同一个段中,只能找到一处
8BFF558BECFF750CFF7508FF15????????85C00F8C??????0033C0405DC208009090909090
能力值:
( LV9,RANK:180 )
87 楼
你下软断看看有无执行到
你自行研究吧, 我帮不上忙了.
能力值:
( LV9,RANK:290 )
88 楼
谢谢S兄的指导,我自己再看看吧,F2试了,可以断下。
(辛苦了)
能力值:
( LV9,RANK:180 )
89 楼
push 4
call kernel32.TlsSetValue
你改成 push 6 看看 (请直接修脚本)
我刚试了 xp sp3 , 用的 index 是 6
改正确就ok了. 你试试.
能力值:
( LV9,RANK:290 )
90 楼
s兄厉害!本来一直也没有找出问题,正想弄个sp2的系统试试。
结果装了个虚拟机,程序却跑不起,禁止在虚拟机中跑。
正打算找个机器直接装个呢。没想到来论坛后,看到s兄又有回贴。遂试了下,果然OK。
再次对s兄的无私帮助表示感谢!辛苦辛苦!
另:对于vm.rdtsc是如何分析出来的呢。
能力值:
( LV2,RANK:10 )
91 楼
膜拜,再膜拜,还是膜拜
能力值:
( LV2,RANK:10 )
92 楼
so详细,膜拜,下载学习
能力值:
( LV2,RANK:10 )
93 楼
膜拜,强牛辈出
能力值:
( LV2,RANK:10 )
94 楼
能力值:
( LV4,RANK:40 )
95 楼
例子的CM,第一次OD载入,会提示关闭调试器,重新运行(Ctrl+F2)再无此问题,会是什么原因引起的?
能力值:
( LV9,RANK:180 )
96 楼
喔. 没遇过不知道.
能力值:
( LV2,RANK:10 )
97 楼
看了就晕 太强了 学习不会 也不懂 直接支持
能力值:
( LV2,RANK:10 )
98 楼
太强大了。。我来膜拜下S君~
(虽然完全看不懂。表示先过了中考再继续学吧~)
能力值:
( LV2,RANK:10 )
99 楼
跟着大牛们拜模+
能力值:
( LV9,RANK:290 )
100 楼
再来个 让 Safengine Shielden 2.0.4.0 和 让Safengine Shielden 2.0.5.0 可受调试可受调试 吧,我们好接着学习