tx是如何反OD断点的？-编程技术-看雪-安全社区|安全招聘|kanxue.com

tx是如何反OD断点的？

发表于: 2011-3-20 23:37 9299

tx是如何反OD断点的？

竹君

活跃值

5

2011-3-20 23:37

9299

tx2011版本
bp SetWindowsHookExA/W 无效。条件断点也无效。硬件执行断点无效。
bp SendInput有效。

如何做到反OD断点的呢？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・4

免费

支持

分享

最新回复 (12)
ggdd 雪币： 330 活跃值： (112) 能力值： ( LV6，RANK：80 ) 在线值：发帖 22 回帖 64 粉丝 2 关注私信	ggdd 1 2 楼有个内存校验，比较SetWindowsHookExA 函数有没有被下CC,和比较SetWindowsHookEx有没有被修改和HOOK, 77C16EB0 > 8B4424 0C MOV EAX,DWORD PTR SS:[ESP+C] 77C16EB4 85C0 TEST EAX,EAX 77C16EB6 74 44 JE SHORT msvcrt.77C16EFC 77C16EB8 8B5424 04 MOV EDX,DWORD PTR SS:[ESP+4] 77C16EBC 56 PUSH ESI 77C16EBD 57 PUSH EDI 77C16EBE 8BF2 MOV ESI,EDX 77C16EC0 8B7C24 10 MOV EDI,DWORD PTR SS:[ESP+10] 77C16EC4 0BD7 OR EDX,EDI 77C16EC6 83E2 03 AND EDX,3 77C16EC9 74 32 JE SHORT msvcrt.77C16EFD 77C16ECB A9 01000000 TEST EAX,1 77C16ED0 74 0B JE SHORT msvcrt.77C16EDD 77C16ED2 8A0E MOV CL,BYTE PTR DS:[ESI] 77C16ED4 3A0F CMP CL,BYTE PTR DS:[EDI] 77C16ED6 75 52 JNZ SHORT msvcrt.77C16F2A 77C16ED8 46 INC ESI 77C16ED9 47 INC EDI 77C16EDA 48 DEC EAX 77C16EDB 74 1D JE SHORT msvcrt.77C16EFA 77C16EDD 8A0E MOV CL,BYTE PTR DS:[ESI] 77C16EDF 8A17 MOV DL,BYTE PTR DS:[EDI] 77C16EE1 38D1 CMP CL,DL 77C16EE3 75 45 JNZ SHORT msvcrt.77C16F2A 77C16EE5 8A4E 01 MOV CL,BYTE PTR DS:[ESI+1] 77C16EE8 8A57 01 MOV DL,BYTE PTR DS:[EDI+1] 77C16EEB 38D1 CMP CL,DL 77C16EED 75 3B JNZ SHORT msvcrt.77C16F2A 77C16EEF 83C7 02 ADD EDI,2 77C16EF2 83C6 02 ADD ESI,2 77C16EF5 83E8 02 SUB EAX,2 77C16EF8 ^ 75 E3 JNZ SHORT msvcrt.77C16EDD 77C16EFA 5F POP EDI 77C16EFB 5E POP ESI 这段是比较有没有被修改的代码在 TSSafeEd模块里 10001D56 8989 596A1E8D MOV DWORD PTR DS:[ECX+8D1E6A59],ECX 10001D5C 45 INC EBP 10001D5D D05E 56 RCR BYTE PTR DS:[ESI+56],1 10001D60 50 PUSH EAX 10001D61 FF75 10 PUSH DWORD PTR SS:[EBP+10] 10001D64 E8 4D640000 CALL TSSafeEd.100081B6 ; JMP 到 msvcrt.memcmp 这个CALL是做比较的。楼主去看下吧还有个检测CC的，忘记在哪里啦，好像在SendInput函数下面点的，上次这里忘记做笔记啦希望能帮到楼主， 2011-3-21 00:33 0
9494 雪币： 172 活跃值： (232) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 246 粉丝 0 关注私信	9494 3 楼在调用setwindowsHook 之前会对setwindowsHookA/W 做个memcpy restore Hook. 所以你直接bp那无效, 硬断应该可以, 很久以前调过的嘿嘿.. 2011-3-21 02:19 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼谢谢啦。 2011-3-21 08:43 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼竹君老大去CodeProject上面搜索下Anti Debug 看下代码就知道怎么回事了 2011-4-15 12:42 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼你指的是自生成技术吗？ 2011-4-15 17:39 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼异常那章不是有讲清除硬件断点吗？我理解的偷取代码也可以，比如，MessageBox的内部反汇编 MOV EDI EDI PUSH EBP我先自己实现这两句，然后直接跳到这两句后面，下断点一般就是第一句嘛，所以，这是我的个人理解，如果有错误请指出 2011-4-16 18:53 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 8 楼 TX会GetContext然后SetContext~ 2011-4-18 12:29 0
zhouws 雪币： 3162 活跃值： (1319) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 7 关注私信	zhouws 2 9 楼断点SetWindowsHookEx的深深深层call。我记得当时搞它的钩子是这么搞的 2011-4-18 13:38 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼还是这老兄一说就明白佩服 2011-4-21 18:52 0
ppbb 雪币： 114 活跃值： (619) 能力值： ( LV4，RANK：40 ) 在线值：发帖 8 回帖 53 粉丝 16 关注私信	ppbb 11 楼 cvcvxk。。。。 2011-4-24 20:53 0
goddkiller 雪币： 485 活跃值： (108) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 12 楼 10楼很幽默。。。老V蛋痛了 2011-4-26 03:50 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 13 楼蛋痛啥~tersafe.dll里的代码纠结蛋痛~ 2011-4-26 07:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

竹君

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区