[原创]让 Safengine Shielden 2.0.3.0 可受调试-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]让 Safengine Shielden 2.0.3.0 可受调试

发表于: 2011-2-28 13:05 162493

[原创]让 Safengine Shielden 2.0.3.0 可受调试

sessiondiy 活跃值

2011-2-28 13:05

162493

已测环境 :
XP SP2 ' SP3
原版 OD + StrongOD 0.4.1.716

这个壳最近好像很夯. 最常见到的帖子就是 "无法下断点"
壳用的方法虽非首创, 但用得好杀伤力很大.
研究一个壳若 *无法下断点的话, 只能在上面飞来飞去的,
这是不行的, 没办法研究的.

后面会提供一个附件(一个Crackme), 正常 Run 起会有 8 个 Thread.
Main Thread 不说, 其它全是 Anti 调试.

这时刚好可先确定你的 OD 不下任何断点时, 按 F9 能执行起来才行.
否则请先检查你的 OD.

原理可能你下面的内容边看就能边了解到了.

----
开始
----

用OD载入后要怎么弄呢? 首先我们在 KiUserExceptionDispatcher 的第 1 条
指令按 F2 设软断, 按 F9 Run

　第 1 次断下时, 此时 : [ESP+8]=80000003
　　　此时模块己 Shadow 进来, 且尚未建立 Anti 的 Thread

　第 2 次断下时, 此时 : [ESP+8]=80000004
　　　看 CPU 窗口, 记下 Dr0~3 四个值.
　　　看 Stack 窗口, 记下 [ESP+14] 值. 此样本为 42F765
　　　
　这 5 个值为这 Case 专用的.

OD 重新载入 ...
断'停在第 1 次 KiUserExceptionDispatcher , 不要乱动.
完成下面５项，就任你调试了.

(1)
　在内存里找 CreateThread 的 Shadow :
　癈了他. 请将第一条指令改成 ret 18, 如 :

shadow_CreateThread
00D1FB55   8BFF         mov   edi, edi      ;改成 ret 18
00D1FB57   55           push  ebp
00D1FB58   8BEC         mov   ebp, esp
00D1FB5A   FF75 1C      push  dword ptr [ebp+1C]
00D1FB5D   FF75 18      push  dword ptr [ebp+18]
00D1FB60   FF75 14      push  dword ptr [ebp+14]
00D1FB63   FF75 10      push  dword ptr [ebp+10]
00D1FB66   FF75 0C      push  dword ptr [ebp+C]
00D1FB69   FF75 08      push  dword ptr [ebp+8]
00D1FB6C   6A FF        push  -1
00D1FB6E   E8 D9FDFFFF  call  00D1F94C
00D1FB73   5D           pop   ebp
00D1FB74   C2 1800      ret   18

Shadow_GetThreadContext
00D488DD     8BFF            mov     edi, edi
00D488DF     55              push    ebp
00D488E0     8BEC            mov     ebp, esp
00D488E2     FF75 0C         push    dword ptr [ebp+C]
00D488E5     FF75 08         push    dword ptr [ebp+8]
00D488E8     FF15 EA0ED100   call    [D10EEA]
00D488EE     85C0            test    eax, eax
00D488F0     0F8C 57B60000   jl      00D53F4D
00D488F6     33C0            xor     eax, eax
00D488F8     40              inc     eax
00D488F9     5D              pop     ebp
00D488FA     C2 0800         ret     8      ;jmp 00E41F90
00D488FD     90              nop
00D488FE     90              nop
00D488FF     90              nop
00D48900     90              nop
00D48901     90              nop

00E41F90     50          push   eax
00E41F91     8B4424 0C   mov    eax, [esp+C]
00E41F95     8038 10     cmp    byte ptr [eax], 10
00E41F98     75 16       jnz    short 00E41FB0
00E41F9A     33D2        xor    edx, edx
00E41F9C     8950 04     mov    [eax+4], edx   ;clr Dr0~3
00E41F9F     8950 08     mov    [eax+8], edx
00E41FA2     8950 0C     mov    [eax+C], edx
00E41FA5     8950 10     mov    [eax+10], edx
00E41FA8     52          push   edx
00E41FA9     6A 04       push   4               ;Index
00E41FAB     E8 457C9C7B call   kernel32.TlsSetValue
00E41FB0     58          pop    eax
00E41FB1     C2 0800     ret    8

  mov     al, 1
  ret     8

vm.ds:[imm]

0042F763    8B01      mov   eax, [ecx]      ;jmp 00534FC5
0042F765    8D1C33    lea   ebx, [ebx+esi]
0042F768  ^ 7E B9     jle   short 0042F723
0042F76A  ^ 7F CB     jg    short 0042F737

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.JPG （40.64kb，3420次下载）
Shielden2030.Sample.rar （792.72kb，708次下载）

收藏・114

免费・7

支持

最新回复 (138) 1 2 3 4 5 6 ▶
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼膜拜 123456 原来大S爱好滴蜡啊 2011-2-28 13:15 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 3 楼拜模123456 2011-2-28 13:17 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 4 楼好耐冇見！。 2011-2-28 13:23 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 5 楼膜拜654321 2011-2-28 13:26 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 6 楼同膜123456 2011-2-28 13:28 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 7 楼再膜654321 2011-2-28 13:30 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 8 楼膜拜s阿门 2011-2-28 13:31 0
迷茫之中雪币： 147 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	迷茫之中 9 楼膜拜。学习了! 2011-2-28 13:38 0
张相公雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 0 关注私信	张相公 10 楼上面都在膜拜 2011-2-28 13:49 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 11 楼只要膜拜的分123456 2011-2-28 13:53 0
RAsmDbg 雪币： 317 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	RAsmDbg 1 12 楼膜拜654321 2011-2-28 13:54 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 13 楼阿门~ 2011-2-28 14:20 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 14 楼只能不懂完全膜拜 2011-2-28 14:51 0
tjszlqq 雪币： 1310 活跃值： (2301) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 884 粉丝 2 关注私信	tjszlqq 1 15 楼汗，论坛有你，没人敢写壳了 2011-2-28 15:01 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 16 楼大S威武。。学习 2011-2-28 15:40 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 17 楼自从我吃了曱壳素, 不但脑子变聪明了痣窗没了, 人也更加漂亮了 2011-2-28 15:41 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼太给力了膜拜下吧 2011-2-28 16:19 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 19 楼排队膜拜....123456 2011-2-28 19:08 0
you8107 雪币： 223 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 121 粉丝 0 关注私信	you8107 1 20 楼高手啊 2011-2-28 19:15 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 21 楼等W哥出个4核的看你怎么办 2011-2-28 19:30 0
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 22 楼只能排队膜拜。 2011-2-28 19:40 0
joker陈雪币： 10939 活跃值： (2895) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 23 楼膜拜，不知跟世界第一强壳比如何？ 2011-2-28 19:50 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 24 楼无法学习，只能膜拜。 2011-2-28 20:00 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 25 楼只能膜拜s牛太强了 2011-2-28 20:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sessiondiy

发帖

3244

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (138) 1 2 3 4 5 6 ▶
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼膜拜 123456 原来大S爱好滴蜡啊 2011-2-28 13:15 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 3 楼拜模123456 2011-2-28 13:17 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 4 楼好耐冇見！。 2011-2-28 13:23 0
kunkun 雪币： 129 活跃值： (53) 能力值： ( LV9，RANK：220 ) 在线值：发帖 24 回帖 97 粉丝 1 关注私信	kunkun 5 5 楼膜拜654321 2011-2-28 13:26 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 6 楼同膜123456 2011-2-28 13:28 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 7 楼再膜654321 2011-2-28 13:30 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 21 关注私信	KuNgBiM 66 8 楼膜拜s阿门 2011-2-28 13:31 0
迷茫之中雪币： 147 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	迷茫之中 9 楼膜拜。学习了! 2011-2-28 13:38 0
张相公雪币： 358 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 142 粉丝 0 关注私信	张相公 10 楼上面都在膜拜 2011-2-28 13:49 0
komnb 雪币： 1731 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 177 粉丝 0 关注私信	komnb 11 楼只要膜拜的分123456 2011-2-28 13:53 0
RAsmDbg 雪币： 317 活跃值： (13) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 49 粉丝 0 关注私信	RAsmDbg 1 12 楼膜拜654321 2011-2-28 13:54 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 13 楼阿门~ 2011-2-28 14:20 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 14 楼只能不懂完全膜拜 2011-2-28 14:51 0
tjszlqq 雪币： 1310 活跃值： (2301) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 884 粉丝 2 关注私信	tjszlqq 1 15 楼汗，论坛有你，没人敢写壳了 2011-2-28 15:01 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 16 楼大S威武。。学习 2011-2-28 15:40 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 17 楼自从我吃了曱壳素, 不但脑子变聪明了痣窗没了, 人也更加漂亮了 2011-2-28 15:41 0
夜凉如水雪币： 136 活跃值： (105) 能力值： ( LV9，RANK：140 ) 在线值：发帖 18 回帖 719 粉丝 1 关注私信	夜凉如水 3 18 楼太给力了膜拜下吧 2011-2-28 16:19 0
aa1ss2 雪币： 326 活跃值： (88) 能力值： ( LV6，RANK：90 ) 在线值：发帖 5 回帖 71 粉丝 3 关注私信	aa1ss2 2 19 楼排队膜拜....123456 2011-2-28 19:08 0
you8107 雪币： 223 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 121 粉丝 0 关注私信	you8107 1 20 楼高手啊 2011-2-28 19:15 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 21 楼等W哥出个4核的看你怎么办 2011-2-28 19:30 0
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 22 楼只能排队膜拜。 2011-2-28 19:40 0
joker陈雪币： 10939 活跃值： (2895) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 23 楼膜拜，不知跟世界第一强壳比如何？ 2011-2-28 19:50 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 24 楼无法学习，只能膜拜。 2011-2-28 20:00 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 25 楼只能膜拜s牛太强了 2011-2-28 20:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复