[原创]反StrongOD原理和实例（二）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]反StrongOD原理和实例（二）

发表于: 2012-2-5 11:24 13326

[原创]反StrongOD原理和实例（二）

jgaoabc

2012-2-5 11:24

13326

反StrongOD原理和实例（二）

上次说了一个反StrongOD原理和实例，是关于ntdll.NtQueryObject的，这次来说说用ntdll.NtSetInformationThread过StrongOD，我通过实践发现，当传递一个错误的句柄给ntdll.NtSetInformationThread函数，在StrongOD里返回值为

0，而在正常的OD里返回值为错误号C0000008，根据这个原理我写了一个程序，这个程序用到了二次ntdll.NtSetInformationThread，一次是正常的NtSetInformationThread反调试，是用来对付正常的OD的，另外一个

NtSetInformationThread反调试是用来对付StrongOD的。
以下程序在WINDOWS2003、XP和7.0测试通过。

00401000 ThreadHi.<ModuleE>/$  FF15 04204000          call dword ptr ds:[<&kernel32.GetCurrentThread>]    ; kernel32.GetCurrentThread，正常的NtSetInformationThread开始
00401006                |.  6A 00                push 0
00401008                |.  6A 00                push 0
0040100A                |.  6A 11                push 11
0040100C                |.  50                   push eax                                           ;  正确的句柄
0040100D                |.  FF15 0C204000          call dword ptr ds:[<&ntdll.NtSetInformationThread>] ;  ntdll.NtSetInformationThread
00401013                |.  B8 EDAC8700          mov eax,87ACED                                     ;
00401018                |.  6A 00                push 0
0040101A                |.  6A 00                push 0
0040101C                |.  6A 11                push 11
0040101E                |.  50                   push eax                                           ;  错误的句柄
0040101F                |.  FF15 0C204000          call dword ptr ds:[<&ntdll.NtSetInformationThread>] ;  ntdll.NtSetInformationThread
00401025                |.  83F8 00                cmp eax,0
00401028                |.  74 16                je short ThreadHi.00401040
0040102A                |.  6A 00                push 0                                              ; Style = MB_OK|MB_APPLMODAL
0040102C                |.  68 40214000          push ThreadHi.00402140                               ; Title = "结果"
00401031                |.  68 54214000          push ThreadHi.00402154                               ; Text = "无调试器"
00401036                |.  6A 00                push 0                                              ; hOwner = NULL
00401038                |.  FF15 14204000          call dword ptr ds:[<&user32.MessageBoxA>]          ; MessageBoxA
0040103E                |.  EB 14                jmp short ThreadHi.00401054
00401040                |>  6A 00                push 0                                              ; Style = MB_OK|MB_APPLMODAL
00401042                |.  68 40214000          push ThreadHi.00402140                               ; Title = "结果"
00401047                |.  68 48214000          push ThreadHi.00402148                               ; Text = "有调试器"
0040104C                |.  6A 00                push 0                                              ; hOwner = NULL
0040104E                |.  FF15 14204000          call dword ptr ds:[<&user32.MessageBoxA>]          ; MessageBoxA
00401054                |>  6A 00                push 0                                              ; ExitCode = 0
00401056                \.  FF15 00204000          call dword ptr ds:[<&kernel32.ExitProcess>]          ; ExitProcess

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

ThreadHide.rar （0.55kb，108次下载）

收藏・13

免费・6

支持

最新回复 (12)
joker陈雪币： 10960 活跃值： (2920) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 2 楼楼主高手啊，学习。 2012-2-5 11:39 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 3 楼海风大大快来看一下。。。 2012-2-5 13:28 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 4 楼 mark,anti-sod 2012-2-5 14:03 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 5 楼呵呵真厉害做测试也挺辛苦的 2012-2-6 09:53 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 6 楼学习方法和思路。。。 2012-2-8 09:36 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 7 楼已经被海风给和谐了。。。 2012-2-14 20:54 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 8 楼今天更新补掉了 2012-2-15 22:39 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 9 楼已经和谐了，你如果刚更新SOD，重启一下就和谐了，因为要重新加载SOD驱动。 2012-2-16 13:54 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 10 楼思路最重要啊，虽然偶还看不懂~ up 2012-2-16 14:15 0
wangggg 雪币： 232 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wangggg 11 楼学习一下 .. 2012-2-22 20:47 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼这个我早说过了~ http://bbs.pediy.com/showthread.php?t=140239 2012-2-24 19:59 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 13 楼下载试试 2012-2-25 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jgaoabc

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
joker陈雪币： 10960 活跃值： (2920) 能力值： ( LV5，RANK：71 ) 在线值：发帖 18 回帖 339 粉丝 4 关注私信	joker陈 2 楼楼主高手啊，学习。 2012-2-5 11:39 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 3 楼海风大大快来看一下。。。 2012-2-5 13:28 0
zgyknight 雪币： 2 活跃值： (199) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 4 楼 mark,anti-sod 2012-2-5 14:03 0
njxxdx 雪币： 133 活跃值： (587) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 129 粉丝 0 关注私信	njxxdx 5 楼呵呵真厉害做测试也挺辛苦的 2012-2-6 09:53 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 6 楼学习方法和思路。。。 2012-2-8 09:36 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 7 楼已经被海风给和谐了。。。 2012-2-14 20:54 0
promsied 雪币： 589 活跃值： (119) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 94 粉丝 3 关注私信	promsied 4 8 楼今天更新补掉了 2012-2-15 22:39 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 9 楼已经和谐了，你如果刚更新SOD，重启一下就和谐了，因为要重新加载SOD驱动。 2012-2-16 13:54 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 10 楼思路最重要啊，虽然偶还看不懂~ up 2012-2-16 14:15 0
wangggg 雪币： 232 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wangggg 11 楼学习一下 .. 2012-2-22 20:47 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 12 楼这个我早说过了~ http://bbs.pediy.com/showthread.php?t=140239 2012-2-24 19:59 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 13 楼下载试试 2012-2-25 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复