[原创]反StrongOD的原理和实例-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]反StrongOD的原理和实例

发表于: 2011-9-2 12:20 25721

[原创]反StrongOD的原理和实例

jgaoabc

2011-9-2 12:20

25721

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

ceshi.rar （0.83kb，247次下载）

收藏・14

免费・6

支持

最新回复 (21)
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼 AOE范围太大，会误伤的 2011-9-2 13:01 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼学习，要是能有源代码更好了， 2011-9-2 13:02 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 4 楼 00401203 . 33C9 XOR ECX,ECX 00401205 . 64:8B71 30 MOV ESI,DWORD PTR FS:[ECX+30] 这两句我顶了，这样也可以，膜拜 2011-9-2 13:03 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼 0040110F . 42 INC EDX 00401110 .^ EB B1 JMP SHORT 004010C3 00401112 > 83E9 58 SUB ECX,58 00401115 . 8339 00 CMP DWORD PTR DS:[ECX],0 00401118 74 24 JE SHORT 0040113E ; 修改此处绕过反调试，这里原来是jnz 0040111A . 68 00800000 PUSH 8000 0040111F . 6A 00 PUSH 0 00401121 . FF75 E0 PUSH DWORD PTR SS:[EBP-20] 00401124 . FF55 EC CALL DWORD PTR SS:[EBP-14] 2011-9-2 13:10 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 6 楼改名就行了？？？ 2011-9-2 13:10 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼感谢楼主给我一次学习机会，做的很隐蔽，要是添加到面向对象代码里面，一定能更隐蔽 2011-9-2 13:11 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 8 楼另外问问海风大。如果我reload os后，strong od是不是都杯具了？，你能不能提供一个点给我去patch一下这个新的 os base。 2011-9-2 13:12 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 9 楼自己写一套函数把句柄机制给废除掉，直接用EPROCESS 和ETHREAD做参数，随便你爱怎么挂怎么查 2011-9-2 13:18 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼膜拜黑哥！ 2011-9-2 13:20 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 11 楼没有源码,程序就是源码.因为我是在OD里写的. 2011-9-2 13:38 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 12 楼友情帮顶顺便问下，DebugObject在正常情况下是一定存在的吗？会不会在某些版本或者某些情况下，就算SOD没抹也不存在DebugObject这一项？ 2011-9-2 16:07 0
suyuhai 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	suyuhai 13 楼原来大牛时刻都在看雪上呀。。。 2011-9-2 16:46 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 14 楼这段shellcode直接被杀软干掉了。 2011-9-2 17:00 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 15 楼我测试下来,只要调用ZwQueryObject函数,都会有DebugObjec这项.如果你安装了360,还会在末尾增加360Type这项. 2011-9-2 17:18 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 16 楼 [QUOTE=邓韬;996891]00401203 . 33C9 XOR ECX,ECX 00401205 . 64:8B71 30 MOV ESI,DWORD PTR FS:[ECX+30] 这两句我顶了，这样也可以，膜拜[/QUOTE] 请问MOV ESI,DWORD PTR FS:[ECX+30]这里面的信息有没有比较完整的资料？？？目前只在看雪上发现了一些代码，但没涉及到的结构就完全不懂了。。。。 2011-9-3 18:08 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼好看看这个 2011-9-3 19:18 0
MNI伟哥雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	MNI伟哥 18 楼完全看不懂,,还在初学.. 2011-9-3 20:48 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 19 楼别搞的跟完美一样,开个vs调试器都卡死,没意义 2011-9-3 20:53 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 20 楼完美hook了 int 1和int 3.. 2011-9-4 10:18 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 21 楼这个佩服！！！！ 2011-9-4 11:20 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 22 楼 [QUOTE=雪yaojun;997226]请问MOV ESI,DWORD PTR FS:[ECX+30]这里面的信息有没有比较完整的资料？？？目前只在看雪上发现了一些代码，但没涉及到的结构就完全不懂了。。。。[/QUOTE] 搜索下FS:[30]，你就有答案了。 2011-9-21 23:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jgaoabc

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 2 楼 AOE范围太大，会误伤的 2011-9-2 13:01 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼学习，要是能有源代码更好了， 2011-9-2 13:02 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 4 楼 00401203 . 33C9 XOR ECX,ECX 00401205 . 64:8B71 30 MOV ESI,DWORD PTR FS:[ECX+30] 这两句我顶了，这样也可以，膜拜 2011-9-2 13:03 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 5 楼 0040110F . 42 INC EDX 00401110 .^ EB B1 JMP SHORT 004010C3 00401112 > 83E9 58 SUB ECX,58 00401115 . 8339 00 CMP DWORD PTR DS:[ECX],0 00401118 74 24 JE SHORT 0040113E ; 修改此处绕过反调试，这里原来是jnz 0040111A . 68 00800000 PUSH 8000 0040111F . 6A 00 PUSH 0 00401121 . FF75 E0 PUSH DWORD PTR SS:[EBP-20] 00401124 . FF55 EC CALL DWORD PTR SS:[EBP-14] 2011-9-2 13:10 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 6 楼改名就行了？？？ 2011-9-2 13:10 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼感谢楼主给我一次学习机会，做的很隐蔽，要是添加到面向对象代码里面，一定能更隐蔽 2011-9-2 13:11 0
zhouws 雪币： 3116 活跃值： (1269) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 8 楼另外问问海风大。如果我reload os后，strong od是不是都杯具了？，你能不能提供一个点给我去patch一下这个新的 os base。 2011-9-2 13:12 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 9 楼自己写一套函数把句柄机制给废除掉，直接用EPROCESS 和ETHREAD做参数，随便你爱怎么挂怎么查 2011-9-2 13:18 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼膜拜黑哥！ 2011-9-2 13:20 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 11 楼没有源码,程序就是源码.因为我是在OD里写的. 2011-9-2 13:38 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 12 楼友情帮顶顺便问下，DebugObject在正常情况下是一定存在的吗？会不会在某些版本或者某些情况下，就算SOD没抹也不存在DebugObject这一项？ 2011-9-2 16:07 0
suyuhai 雪币： 244 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	suyuhai 13 楼原来大牛时刻都在看雪上呀。。。 2011-9-2 16:46 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 14 楼这段shellcode直接被杀软干掉了。 2011-9-2 17:00 0
jgaoabc 雪币： 394 活跃值： (131) 能力值： ( LV5，RANK：70 ) 在线值：发帖 9 回帖 57 粉丝 0 关注私信	jgaoabc 1 15 楼我测试下来,只要调用ZwQueryObject函数,都会有DebugObjec这项.如果你安装了360,还会在末尾增加360Type这项. 2011-9-2 17:18 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 16 楼 [QUOTE=邓韬;996891]00401203 . 33C9 XOR ECX,ECX 00401205 . 64:8B71 30 MOV ESI,DWORD PTR FS:[ECX+30] 这两句我顶了，这样也可以，膜拜[/QUOTE] 请问MOV ESI,DWORD PTR FS:[ECX+30]这里面的信息有没有比较完整的资料？？？目前只在看雪上发现了一些代码，但没涉及到的结构就完全不懂了。。。。 2011-9-3 18:08 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼好看看这个 2011-9-3 19:18 0
MNI伟哥雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	MNI伟哥 18 楼完全看不懂,,还在初学.. 2011-9-3 20:48 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 19 楼别搞的跟完美一样,开个vs调试器都卡死,没意义 2011-9-3 20:53 0
MengXP 雪币： 304 活跃值： (507) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 136 粉丝 4 关注私信	MengXP 20 楼完美hook了 int 1和int 3.. 2011-9-4 10:18 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 21 楼这个佩服！！！！ 2011-9-4 11:20 0
pathletboy 雪币： 184 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 22 楼 [QUOTE=雪yaojun;997226]请问MOV ESI,DWORD PTR FS:[ECX+30]这里面的信息有没有比较完整的资料？？？目前只在看雪上发现了一些代码，但没涉及到的结构就完全不懂了。。。。[/QUOTE] 搜索下FS:[30]，你就有答案了。 2011-9-21 23:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复