[原创]让 Safengine Shielden 2.0.3.0 可受调试-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]让 Safengine Shielden 2.0.3.0 可受调试

发表于: 2011-2-28 13:05 162504

[原创]让 Safengine Shielden 2.0.3.0 可受调试

sessiondiy 活跃值

2011-2-28 13:05

162504

查看主题内容

收藏・114

免费・7

支持

最新回复 (138) ◀ 1 2 3 4 5 6 ▶
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 76 楼我看完 xor_eax_eax_nop, 你步骤看起来是 ok 的但...为何我 534FEC 写 popfd 你却是写 popad ? 00534FE5 pushfd 00534FE6 or word ptr [esp], 100 00534FEC popfd (你写popad) 00534FED nop 2011-3-22 10:04 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 77 楼 [QUOTE=sessiondiy;938672]我看完 xor_eax_eax_nop, 你步骤看起来是 ok 的但...为何我 534FEC 写 popfd 你却是写 popad ? 00534FE5 pushfd 00534FE6 or word ptr [esp], 100 00534FEC ...[/QUOTE] 这是个笔误，当时没有注意。现在已经修改成popfd了，其他步骤不变，但和以前一样了。跑起来以后，还是有错误提示. 提示如下：上传的附件： er2.JPG （5.84kb，294次下载） 2011-3-22 10:26 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 78 楼你用 xor eax_eax_nop 的方式录个没写错而出现这讯息的录像来看看 (前提请先确定 OD 不下断点可直接 run 起这 sample) 2011-3-22 10:48 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 79 楼在没有设任何断点的情况下，可以直接跑起这次是直接改的vm rdtsc,但还是有同样的错误。另：对于这个vm rdtsc查找，有什么好方法呢？一直想用第二种驱动hook的方式，目的是想，换个试练品也可以通用。 http://u.115.com/file/f9df26260d# xor_eax_eax_nop_popfd_.rar 2011-3-22 11:09 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 80 楼你是 xp sp2 吧. 我写了个脚本, 适用于这 sample (但很好移植) 你须先设好第1行的 ShadowMemBase 的值. OD 载入 exe 第1次停在 KiUserExceptionDispatcher 时, 执行此脚本. 然后你试着硬断R/W 401020 若可以的话我再告诉你问题可能出在那里. PS. 你要用 .sys 当然可以. 只是我想排除你一些其它因素. 上传的附件： sAnti.rar （0.65kb，133次下载） 2011-3-22 11:49 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 81 楼先占位,有问题再反馈我用的系统是深度xp-sp3 开始直接用脚本，提示 CreateThread not found,后来，修改了一个查找的语句。把 Find ShadowMemBase, #8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????5DC218009090909090# 改成了 Find ShadowMemBase, #8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????# 之后，脚本可以正常执行。中间没有其他提示了。接着，对401020下硬件访问断点。结果和之前的一样。程序跑起来后，还是提示说 “发生内部错误”。此时机器上也没有安什么特别的软件。 2011-3-22 14:59 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 82 楼那我就不知道了. 我的系统是 xp sp2 , 试了 2 台都是 ok 的. ps. 我anti anti用的插件只有 StrongOD 4.1.716 选项全选. OD的忽略例外也是全选 1. 发生内部错误时, 你看一下 Thread, 应该只有一个. 2.你脚本跑完后, KiUserExceptionDispatcher 软断先不要拿掉若之后断在 KiUserExceptionDispatcher 时的 [esp+14] 没见过 534FEE 的话, 表示 popf nop 单步中断被吃掉了. 你先确认以上吧. 再不行的话你只好自行研究问题点了. 2011-3-22 16:46 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 83 楼 1.是只有一个 Threads, item 0 Ident=00000A04 (main) Entry=005345D0 Data block=7FFDF000 Last error=ERROR_SUCCESS (00000000) Status=Active Priority= 32 + 0 User time= 0.9218 s System time= 0.0781 s 2.跑完脚本，第2次断在 KiUserExceptionDispatcherrg 时，[esp+14]值是534fee 2011-3-22 19:47 0
smokewind 雪币： 65 活跃值： (118) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 93 粉丝 4 关注私信	smokewind 1 84 楼膜拜123456 2011-3-22 20:00 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 85 楼见鬼了那你剩 GetThreadContext 的 Shadow 要查了往后找是不是还有同样的代码. 以防找错. 及确定有执行到 2011-3-22 20:43 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 86 楼这个按脚本中的代码查找，在同一个段中，只能找到一处 8BFF558BECFF750CFF7508FF15????????85C00F8C??????0033C0405DC208009090909090 2011-3-22 21:44 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 87 楼你下软断看看有无执行到你自行研究吧, 我帮不上忙了. 2011-3-22 22:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 88 楼谢谢S兄的指导，我自己再看看吧，F2试了，可以断下。（辛苦了） 2011-3-22 23:04 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 89 楼 push 4 call kernel32.TlsSetValue 你改成 push 6 看看 (请直接修脚本) 我刚试了 xp sp3 , 用的 index 是 6 改正确就ok了. 你试试. 2011-3-23 12:19 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 90 楼 s兄厉害！本来一直也没有找出问题，正想弄个sp2的系统试试。结果装了个虚拟机，程序却跑不起，禁止在虚拟机中跑。正打算找个机器直接装个呢。没想到来论坛后，看到s兄又有回贴。遂试了下，果然OK。再次对s兄的无私帮助表示感谢！辛苦辛苦！另：对于vm.rdtsc是如何分析出来的呢。 2011-3-23 17:55 0
黄哈哈雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	黄哈哈 91 楼膜拜，再膜拜，还是膜拜 2011-3-24 15:47 0
helinze 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	helinze 92 楼 so详细，膜拜，下载学习 2011-3-24 17:05 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 93 楼膜拜，强牛辈出 2011-3-25 22:26 0
Callppsb 雪币： 1145 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	Callppsb 94 楼试一下表情先， 2011-3-25 22:33 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 95 楼例子的CM，第一次OD载入，会提示关闭调试器，重新运行（Ctrl+F2）再无此问题，会是什么原因引起的？ 2011-3-26 00:20 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 96 楼喔. 没遇过不知道. 2011-3-26 18:04 0
淘tao 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	淘tao 97 楼看了就晕太强了学习不会也不懂直接支持 2011-3-27 21:44 0
buddhawyk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	buddhawyk 98 楼太强大了。。我来膜拜下S君~ （虽然完全看不懂。表示先过了中考再继续学吧~） 2011-3-27 22:35 0
xie风腾雪币： 12310 活跃值： (5068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 99 楼跟着大牛们拜模+ 2011-3-30 20:45 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 100 楼再来个让 Safengine Shielden 2.0.4.0 和让Safengine Shielden 2.0.5.0 可受调试可受调试吧，我们好接着学习 2011-4-7 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sessiondiy

发帖

3244

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (138) ◀ 1 2 3 4 5 6 ▶
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 76 楼我看完 xor_eax_eax_nop, 你步骤看起来是 ok 的但...为何我 534FEC 写 popfd 你却是写 popad ? 00534FE5 pushfd 00534FE6 or word ptr [esp], 100 00534FEC popfd (你写popad) 00534FED nop 2011-3-22 10:04 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 77 楼 [QUOTE=sessiondiy;938672]我看完 xor_eax_eax_nop, 你步骤看起来是 ok 的但...为何我 534FEC 写 popfd 你却是写 popad ? 00534FE5 pushfd 00534FE6 or word ptr [esp], 100 00534FEC ...[/QUOTE] 这是个笔误，当时没有注意。现在已经修改成popfd了，其他步骤不变，但和以前一样了。跑起来以后，还是有错误提示. 提示如下：上传的附件： er2.JPG （5.84kb，294次下载） 2011-3-22 10:26 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 78 楼你用 xor eax_eax_nop 的方式录个没写错而出现这讯息的录像来看看 (前提请先确定 OD 不下断点可直接 run 起这 sample) 2011-3-22 10:48 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 79 楼在没有设任何断点的情况下，可以直接跑起这次是直接改的vm rdtsc,但还是有同样的错误。另：对于这个vm rdtsc查找，有什么好方法呢？一直想用第二种驱动hook的方式，目的是想，换个试练品也可以通用。 http://u.115.com/file/f9df26260d# xor_eax_eax_nop_popfd_.rar 2011-3-22 11:09 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 80 楼你是 xp sp2 吧. 我写了个脚本, 适用于这 sample (但很好移植) 你须先设好第1行的 ShadowMemBase 的值. OD 载入 exe 第1次停在 KiUserExceptionDispatcher 时, 执行此脚本. 然后你试着硬断R/W 401020 若可以的话我再告诉你问题可能出在那里. PS. 你要用 .sys 当然可以. 只是我想排除你一些其它因素. 上传的附件： sAnti.rar （0.65kb，133次下载） 2011-3-22 11:49 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 81 楼先占位,有问题再反馈我用的系统是深度xp-sp3 开始直接用脚本，提示 CreateThread not found,后来，修改了一个查找的语句。把 Find ShadowMemBase, #8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????5DC218009090909090# 改成了 Find ShadowMemBase, #8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????# 之后，脚本可以正常执行。中间没有其他提示了。接着，对401020下硬件访问断点。结果和之前的一样。程序跑起来后，还是提示说 “发生内部错误”。此时机器上也没有安什么特别的软件。 2011-3-22 14:59 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 82 楼那我就不知道了. 我的系统是 xp sp2 , 试了 2 台都是 ok 的. ps. 我anti anti用的插件只有 StrongOD 4.1.716 选项全选. OD的忽略例外也是全选 1. 发生内部错误时, 你看一下 Thread, 应该只有一个. 2.你脚本跑完后, KiUserExceptionDispatcher 软断先不要拿掉若之后断在 KiUserExceptionDispatcher 时的 [esp+14] 没见过 534FEE 的话, 表示 popf nop 单步中断被吃掉了. 你先确认以上吧. 再不行的话你只好自行研究问题点了. 2011-3-22 16:46 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 83 楼 1.是只有一个 Threads, item 0 Ident=00000A04 (main) Entry=005345D0 Data block=7FFDF000 Last error=ERROR_SUCCESS (00000000) Status=Active Priority= 32 + 0 User time= 0.9218 s System time= 0.0781 s 2.跑完脚本，第2次断在 KiUserExceptionDispatcherrg 时，[esp+14]值是534fee 2011-3-22 19:47 0
smokewind 雪币： 65 活跃值： (118) 能力值： ( LV6，RANK：90 ) 在线值：发帖 7 回帖 93 粉丝 4 关注私信	smokewind 1 84 楼膜拜123456 2011-3-22 20:00 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 85 楼见鬼了那你剩 GetThreadContext 的 Shadow 要查了往后找是不是还有同样的代码. 以防找错. 及确定有执行到 2011-3-22 20:43 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 86 楼这个按脚本中的代码查找，在同一个段中，只能找到一处 8BFF558BECFF750CFF7508FF15????????85C00F8C??????0033C0405DC208009090909090 2011-3-22 21:44 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 87 楼你下软断看看有无执行到你自行研究吧, 我帮不上忙了. 2011-3-22 22:20 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 88 楼谢谢S兄的指导，我自己再看看吧，F2试了，可以断下。（辛苦了） 2011-3-22 23:04 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 89 楼 push 4 call kernel32.TlsSetValue 你改成 push 6 看看 (请直接修脚本) 我刚试了 xp sp3 , 用的 index 是 6 改正确就ok了. 你试试. 2011-3-23 12:19 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 90 楼 s兄厉害！本来一直也没有找出问题，正想弄个sp2的系统试试。结果装了个虚拟机，程序却跑不起，禁止在虚拟机中跑。正打算找个机器直接装个呢。没想到来论坛后，看到s兄又有回贴。遂试了下，果然OK。再次对s兄的无私帮助表示感谢！辛苦辛苦！另：对于vm.rdtsc是如何分析出来的呢。 2011-3-23 17:55 0
黄哈哈雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	黄哈哈 91 楼膜拜，再膜拜，还是膜拜 2011-3-24 15:47 0
helinze 雪币： 457 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	helinze 92 楼 so详细，膜拜，下载学习 2011-3-24 17:05 0
cjteam 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 141 粉丝 0 关注私信	cjteam 93 楼膜拜，强牛辈出 2011-3-25 22:26 0
Callppsb 雪币： 1145 活跃值： (387) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	Callppsb 94 楼试一下表情先， 2011-3-25 22:33 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 95 楼例子的CM，第一次OD载入，会提示关闭调试器，重新运行（Ctrl+F2）再无此问题，会是什么原因引起的？ 2011-3-26 00:20 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 96 楼喔. 没遇过不知道. 2011-3-26 18:04 0
淘tao 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	淘tao 97 楼看了就晕太强了学习不会也不懂直接支持 2011-3-27 21:44 0
buddhawyk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	buddhawyk 98 楼太强大了。。我来膜拜下S君~ （虽然完全看不懂。表示先过了中考再继续学吧~） 2011-3-27 22:35 0
xie风腾雪币： 12310 活跃值： (5068) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 1065 粉丝 5 关注私信	xie风腾 99 楼跟着大牛们拜模+ 2011-3-30 20:45 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 100 楼再来个让 Safengine Shielden 2.0.4.0 和让Safengine Shielden 2.0.5.0 可受调试可受调试吧，我们好接着学习 2011-4-7 21:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复