首页
社区
课程
招聘
[原创]反StrongOD的原理和实例
发表于: 2011-9-2 12:20 25717

[原创]反StrongOD的原理和实例

2011-9-2 12:20
25717
收藏
免费 6
支持
分享
最新回复 (21)
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
2
AOE范围太大,会误伤的
2011-9-2 13:01
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
3
学习,要是能有源代码更好了,
2011-9-2 13:02
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
4
00401203   .  33C9          XOR ECX,ECX
00401205   .  64:8B71 30    MOV ESI,DWORD PTR FS:[ECX+30]

这两句我顶了,这样也可以,膜拜
2011-9-2 13:03
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
5
0040110F   .  42            INC EDX
00401110   .^ EB B1         JMP SHORT 004010C3
00401112   >  83E9 58       SUB ECX,58
00401115   .  8339 00       CMP DWORD PTR DS:[ECX],0
00401118      74 24         JE SHORT 0040113E                        ;  修改此处绕过反调试,这里原来是jnz
0040111A   .  68 00800000   PUSH 8000
0040111F   .  6A 00         PUSH 0
00401121   .  FF75 E0       PUSH DWORD PTR SS:[EBP-20]
00401124   .  FF55 EC       CALL DWORD PTR SS:[EBP-14]
2011-9-2 13:10
0
雪    币: 3116
活跃值: (1269)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
6
改名就行了???
2011-9-2 13:10
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
7
感谢楼主给我一次学习机会,做的很隐蔽,要是添加到面向对象代码里面,一定能更隐蔽
2011-9-2 13:11
0
雪    币: 3116
活跃值: (1269)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
8
另外问问海风大。

如果我reload os后,strong od是不是都杯具了?,你能不能提供一个点给我去patch一下这个新的 os base。
2011-9-2 13:12
0
雪    币: 287
活跃值: (583)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
9
自己写一套函数把句柄机制给废除掉,直接用EPROCESS 和ETHREAD做参数,随便你爱怎么挂怎么查
2011-9-2 13:18
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
10
膜拜黑哥!
2011-9-2 13:20
0
雪    币: 394
活跃值: (131)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
11
没有源码,程序就是源码.因为我是在OD里写的.
2011-9-2 13:38
0
雪    币: 1556
活跃值: (310)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
12
友情帮顶

顺便问下,DebugObject在正常情况下是一定存在的吗?会不会在某些版本或者某些情况下,就算SOD没抹也不存在DebugObject这一项?
2011-9-2 16:07
0
雪    币: 244
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
原来大牛时刻都在看雪上呀。。。
2011-9-2 16:46
0
雪    币: 1708
活跃值: (586)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
14
这段shellcode直接被杀软干掉了。
2011-9-2 17:00
0
雪    币: 394
活跃值: (131)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
15
我测试下来,只要调用ZwQueryObject函数,都会有DebugObjec这项.如果你安装了360,还会在末尾增加360Type这项.
2011-9-2 17:18
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
[QUOTE=邓韬;996891]00401203   .  33C9          XOR ECX,ECX
00401205   .  64:8B71 30    MOV ESI,DWORD PTR FS:[ECX+30]

这两句我顶了,这样也可以,膜拜[/QUOTE]

请问MOV ESI,DWORD PTR FS:[ECX+30]这里面的信息有没有比较完整的资料???
目前只在看雪上发现了一些代码,但没涉及到的结构就完全不懂了。。。。
2011-9-3 18:08
0
雪    币: 563
活跃值: (95)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
好看看这个
2011-9-3 19:18
0
雪    币: 42
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
完全看不懂,,还在初学..
2011-9-3 20:48
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
别搞的跟完美一样,开个vs调试器都卡死,没意义
2011-9-3 20:53
0
雪    币: 304
活跃值: (507)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
20
完美hook了 int 1和int 3..
2011-9-4 10:18
0
雪    币: 220
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
这个佩服 !!!!
2011-9-4 11:20
0
雪    币: 184
活跃值: (65)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
22
[QUOTE=雪yaojun;997226]请问MOV ESI,DWORD PTR FS:[ECX+30]这里面的信息有没有比较完整的资料???
目前只在看雪上发现了一些代码,但没涉及到的结构就完全不懂了。。。。[/QUOTE]

搜索下FS:[30],你就有答案了。
2011-9-21 23:04
0
游客
登录 | 注册 方可回帖
返回
//