首页
社区
课程
招聘
使用 OLLYDBG 咄入 Xprotector
发表于: 2005-8-13 04:32 13105

使用 OLLYDBG 咄入 Xprotector

2005-8-13 04:32
13105

目的:??研究,??用...

(1)使用 PEiD 0.93 ,办?? Xprotector 1.07


(2)使用 LordPE ,dump full memory

劫果...不能 dump memory


(3) 由於 Xprotector 工作在 Ring 0 ,及有 anti Debug anti Dump
      所以我?,必?借助,呃?工具 R0cmd,?看看,它在搞啥鬼....

(4)先抓出,未??的 SST AND IDT

r0cmd /dumpsst_nt:sst1.bin
r0cmd /viewidt:IDT1.txt

然後再 RUN XP.EXE

(5)再抓出,被修改的 SST AND IDT

r0cmd /dumpsst_nt:sst2.bin
r0cmd /viewidt:IDT2.txt

(6) 比蒉 SST1.BIN SST2.BIN  我??办?,有 7 ?位址,被改?

0044:SST1: 805957E4    ==>SST2: F39AEBC4  ==>NtAllocateVirtualMemory
00D4:SST1: 805B2404    ==>SST2: F39AECBE  ==>NtCreateThread
00E8:SST1: 8061CBB4    ==>SST2: F39AF1A0  ==>NtDebugContinue
02C8:SST1: 8059B7AE    ==>SST2: F39AEACA  ==>NtQueryVirtualMemory
02E8:SST1: 8059C2DA    ==>SST2: F39AE014  ==>NtReadVirtualMemory
0404:SST1: 805B3BF2    ==>SST2: F39AE9D0  ==>NtTerminateProcess
0454:SST1: 8059C3DE    ==>SST2: F39AE000  ==>NtWriteVirtualMemory

(7) 抓出?,看看,?了啥??...
r0cmd /dump xp_sst.bin F39AE000 2000


用 W32Dasm 看看,办? Xprotector 代瘁
   在位址  0xA20 判?值 47616420

(6) 再比蒉 IDT1.txt IDT2.txt  我??办?,有 3 ?中?,被改?

IDT1:1  interrupt 8:8053203C    IDT2:1 interrupt  8:FFFFFFFF
     3  interrupt 8:80532384         3 interrupt  8:FFFFFFFF
    14  interrupt 8:80533EEC        14 interrupt  8:F8AAC000

我?可以办?,INT 1 AND INT 3 都? 0xFFFFFFFF,也就是,?使用
  INT 1 或 INT 3 ?,??生 Page Fault ,也就等於是,?生 INT 14 中?
所以,它的秘密,在 INT 14 彦面,我? 抓出?,看看,?了啥??.
r0cmd /dump int14.bin F8AAC000 200


在位址  0x166 判?值 47616420

用 W32Dasm 看看,办?以 47616420 值,??定,是否要?生真正 INT 1 ,INT 3
   在位址  0x166 判?值 47616420 ,我??修改 0x16c=74 19 => EB 19

(7)? SST ?原,及修正 INT 14 CODE

先用
r0cmd /dump INT14.BIN F8AAC16C 1
再? int14.bin ?容 74 改成 EB

在?原....
r0cmd /loadsst_nt:sst1.bin
r0cmd /load INT14.BIN F8AAC16C 1

(8)最後,你?在可以打檫 OLLYDBG=> LOAD XP.EXE  功能,去 TRACE
   
    Xprotector 檫始咄入?.....



期待,大家都能解檫 Xprotector 之珠..cc

引用?考咀站;
http://cracklab.ru/art/xprot.php 作者:dragon
http://saccopharynx.iespana.es/  作者:SACCOPHARYNX

附件:R0cmd.zip
http://bbs.pediy.com/upload/2005/8/files/r0cmd.zip


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 7
支持
分享
最新回复 (27)
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
收藏先,有空再玩Xprotector
2005-8-13 05:34
0
雪    币: 234
活跃值: (370)
能力值: ( LV9,RANK:530 )
在线值:
发帖
回帖
粉丝
3
学习!。。。。
2005-8-13 06:20
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
4
研究的透彻,估计要加精
2005-8-13 08:25
0
雪    币: 301
活跃值: (300)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
5
收藏,辛苦了,期代更多的美文
2005-8-13 08:49
0
雪    币: 266
活跃值: (269)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
6
言简意赅,学习
2005-8-13 09:17
0
雪    币: 211
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
Goooood
支持.....
2005-8-13 09:43
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
强烈支持
2005-8-13 09:58
0
雪    币: 109
活跃值: (543)
能力值: ( LV12,RANK:220 )
在线值:
发帖
回帖
粉丝
9
我还以为是
维C呢~

原来是 这位tailan 的兄弟哦~
2005-8-13 10:17
0
雪    币: 149
活跃值: (344)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
10
精彩...精彩...
宝岛的cracker果然名不虚传
2005-8-13 15:57
0
雪    币: 50161
活跃值: (20645)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
11
最初由 Lenus 发布
精彩...精彩...
宝岛的cracker果然名不虚传


是呀,多串门,多交流。 ;)
2005-8-13 16:08
0
雪    币: 603
活跃值: (617)
能力值: ( LV12,RANK:660 )
在线值:
发帖
回帖
粉丝
12
我也顶一下~
2005-8-13 16:15
0
雪    币: 288
活跃值: (415)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
13
强人啊.....Xprotect
2005-8-13 16:17
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
14
这个东西他是自己开发的?
建议文明的牛人也弄一个 :)
2005-8-13 17:45
0
雪    币: 427
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
Antes de usar esta herramienta, copiar el driver R0drv.sys a la carpeta  
\%SYSTEMROOT%\SYSTEM32\Drivers

        Descripci箢 de los comandos:

01. R0cmd /dumpidt:FILENAME.EXT - dumpea la IDT (tabla de interupciones) a un
           archivo.
02. R0cmd /loadidt:FILENAME.EXT - carga la IDT desde un archivo.
03. R0cmd /dumpsst_nt:FILENAME.EXT - dumpea la SST a un archivo.
04. R0cmd /loadsst_nt:FILENAME.EXT - carga la SST desde un archivo.
05. R0cmd /dumpsstshadow_nt:FILENAME.EXT - dumpea la SST SHADOW para ntoskrnl.exe
06. R0cmd /loadsstshadow_nt:FILENAME.EXT - carga SST SHADOW desde un archivo.
07. R0cmd /dumpsstshadow_w32k:FILENAME.EXT - dumpea la tabla de funciones para
           win32k.sys.
08. R0cmd /loadsstshadow_w32k:FILENAME.EXT - carga la tabla de funciones para
           win32k.sys.
09. R0cmd /dump FILENAME.EXT START_ADDRESS SIZE - dumpea una porci箢 arbitraria
           de memoria.
10. R0cmd /load FILENAME.EXT START_ADDRESS SIZE - carga desde un archivo en una
           regi箢 de memoria.
11. R0cmd /viewidt:FILENAME.EXT - muestra los valores de la IDT.

法国狂人写的?
2005-8-13 20:26
0
雪    币: 294
活跃值: (603)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zxc
16
这篇文章是抄袭别人教程的.
2005-8-13 22:36
0
雪    币: 245
活跃值: (195)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
17
最初由 zxc 发布
这篇文章是抄袭别人教程的.


腠然非原?,真抄阴,也有些言重...
  如果,?有?作咿,我也不??一些心得..和 大家分享
    版主如迂的不妥,??除,此主铨..著著~!!!

  ?教?,比??,?累,?久....=.=''
  
2005-8-13 23:19
0
雪    币: 124
活跃值: (70)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
可否把你们说的“教程”地址贴出来呢。。

对照下就知道了
2005-8-14 00:23
0
雪    币: 898
活跃值: (4039)
能力值: ( LV9,RANK:3410 )
在线值:
发帖
回帖
粉丝
19
当然可以借鉴前人的研究成果
2005-8-14 00:44
0
雪    币: 50
活跃值: (145)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
20
支持
2005-8-14 00:47
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
21
好像我记得 dragon 写了一篇教程并提到这个工具后,有个西班牙人用过上述方法。

不过说抄袭太严重了,借鉴,借鉴万岁
2005-8-14 09:03
0
雪    币: 50161
活跃值: (20645)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
22
最初由 syscom 发布


腠然非原?,真抄阴,也有些言重...
如果,?有?作咿,我也不??一些心得..和 大家分享
版主如迂的不妥,??除,此主铨..著著~!!!
........


辛苦!谢谢你能与我们分享这些技巧,这样大家才能进步得更快。
建议大家以后引用或借鉴他人的文章,文后用“参考资料”一栏说明一下。
2005-8-14 10:01
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
23
good!学习!。。。。
2005-8-14 12:06
0
雪    币: 216
活跃值: (224)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
24
恩,请问下,那个R0CMD.EXE那儿下啊,我翻完了论坛也没找到!
2005-8-14 14:25
0
雪    币: 255
活跃值: (207)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
25
提示: r0cmd forgot有.
2005-8-14 15:12
0
游客
登录 | 注册 方可回帖
返回
//