[原创]反调试Bin-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]反调试Bin

发表于: 2013-4-4 22:56 11122

[原创]反调试Bin

elianmeng

2013-4-4 22:56

11122

我给昨天到今天的代码整了一个bin
此bin可以过od+最新版本Sod，
发现大家不喜欢看一些的帖子
给大家整个bin出来
如果想要代码，请私密我
我测试过效果还不错
本来想直接发完整代码的，但是怕某些人喷
刚才我出现了失误，麻烦大家现在再测试一下
我测试了win7是可以的了

代码：http://bbs.pediy.com/showthread.php?t=167831

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

Bin.AntiOd.rar （27.19kb，86次下载）

收藏・4

免费・0

支持

最新回复 (22)
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼双击发现被调试，但没有 SOD 参与（无语） OD 加载运行发现被调试，但没有 SOD 参与（ SOD 加载了的） 2013-4-4 23:05 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 3 楼 "双击发现被调试，但没有 SOD 参与（无语）" 对不起我刚对win7做了测试，的确win7可以自己用所有权限打开自己，我只测试了xp 我修改代码麻烦一会儿再测试 OD 加载运行发现被调试，但没有 SOD 参与（ SOD 加载了的）这个就不说了双击都过不了，这个肯定是过不了的 2013-4-4 23:20 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 4 楼 win7是可以全权打开自己这个是我的失误，现在已经好了 2013-4-4 23:25 0
Kisesy 雪币： 6528 活跃值： (3449) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 5 楼我这直接运行的话也会出现被调试，杀伤力好大 2013-4-4 23:32 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 6 楼对不起，麻烦大神再下载一下再测试一下 2013-4-4 23:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼我的测试方式，复制2份od，改了一些东西，比如sod的XX啊YY啊~ 把一份od的sod开启kernel mode然后sod驱动ok后，关闭第一份od，删除第一份od的插件目录，开启第二份od~~ 最后开启你的这个东东... 根本没关心代码是什么样的，或者你做了什么样的检测~ 今天白天事情太多了，没看帖子~不知道这样又怎样呢~ 2013-4-5 00:06 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 8 楼实在不明白楼主到底想说明什么？反调试难道就是一个技术点就可以做到么? 就算楼主你这个方法很牛逼，可是我打开OD直接跳过你这个检测是否被调试的Call，后面就有如无人之境，你这一个方法有什么用？就好比你用一个IsDebugPresent函数来做anti-deug，却被别人一个jmp就anti了你的anti-debug。反调试要做好是需要全方位+持续检测的，不要纠结与一两个技术点上，调试器是死的，但是人是活的。有兴趣的去看看快播的反调试机制，比你在这里天天因为这一两个技术点上争吵有意义多了。 2013-4-5 00:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼 jmp过去没啥意义，他万一加了VM,你还能找到么~~~ 话说，单纯这个技术不是太靠谱。现在都是靠云扫描了~呵呵~ 2013-4-5 00:20 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 10 楼还是不给力啊不给力，无论开不开kernelmodue模块，这个bin都痴线了。。楼主你还有很长的路走。要想搞anti-antidebug，先搞定easydebugger+sod的结合体的各种组合吧。上传的附件： 1.png （45.32kb，5次下载） 2.png （42.19kb，3次下载） 2013-4-5 00:24 0
Kisesy 雪币： 6528 活跃值： (3449) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 11 楼挺有用的，有些OD能被检测出来不过某些例外... 上传的附件： 001.png （26.71kb，1次下载） 2013-4-5 00:31 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 12 楼说的也是，我是小白，只是最近碰到一个加了anti-debug的程序，现在进度还比较慢，多学习学习。 2013-4-5 00:35 0
xtayaitak 雪币： 106 活跃值： (579) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 13 楼还是不错的。楼主代码发我一份，我看看。。 2013-4-5 00:46 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 14 楼都懒得分析了, 左边直接运行, 右边OD运行 2013-4-5 00:48 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 15 楼好的谢谢各位大牛返回意见我明天早上要去北京最近几天我又一个很重的面试机会等我从北京回来，我再修改我的Bug 在这里先说一声对不起，没有及时的修复特别是V大，我知道你们一直在引导我 2013-4-5 01:01 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 16 楼 [QUOTE=Diabloking;1161781]都懒得分析了, 左边直接运行, 右边OD运行 [/QUOTE] 能否说一下浮现步骤？我测试了一下先直接运行程序，接着再用od加载跑，结果是正确的啊 2013-4-5 01:06 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 17 楼这个是我的测试结果上传的附件： a.gif （15.61kb，2次下载） 2013-4-5 01:11 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 18 楼我还是可以检测出来的，我这是这样做的，我遍历所有安装的驱动，根据路径，再找dll文件，再到导出表，如果找到就立即退出，否则继续找，也就是说你弄二份我还是可以检测出来我想应该有一种方法可以让我检测不出来，可以让驱动和dll分开，这样我虽然得到驱动的路径但是却得不到dll的路径。我估计下次sod更新应该会这么做吧 2013-4-5 01:27 0
yimingqpa 雪币： 6556 活跃值： (4356) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 19 楼亮点真心不大,用到的方法就下面这几样啊? if ( sub_4013C0(&v5) \|\| sub_401000((_DWORD )&v5) && !sub_4014B0() \|\| sub_401210(&v5) && !sub_4014B0() ) v4 = (_UNKNOWN *)"发现了sod"; else v4 = &unk_40C494; v3 = GetProcAddress(v1, "ZwSetInformationProcess"); v4 = GetProcAddress(v2, "ZwQueryInformationProcess"); v2 = CreateFileA("\\\\.\\fengyue0", 0xC0000000u, 3u, 0, 3u, 0x80u, 0); v3 = OpenSCManagerA(0, 0, 0xF003Fu); result = 0; ServiceStatus.dwServiceType = 0; ServiceStatus.dwCurrentState = 0; ServiceStatus.dwControlsAccepted = 0; ServiceStatus.dwWin32ExitCode = 0; ServiceStatus.dwServiceSpecificExitCode = 0; ServiceStatus.dwCheckPoint = 0; ServiceStatus.dwWaitHint = 0; if ( v2 ) { v5 = OpenServiceW(v3, v2, 0xF01FFu); v2 = OpenSCManagerW(0, 0, 0xF003Fu); if ( v2 ) { EnumServicesStatusExW(v2, 0, 0x3Bu, 3u, 0, 0, &pcbBytesNeeded, &ServicesReturned, 0, 0); 2013-4-5 01:55 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 20 楼你没弄明白怎么个问题吧，你找到的是第一份，亲，第一份插件目录已经删了，哪有文件？另外有几个OD版本的导入表和导出表也不一样了~ 修改版太多，大神太多了~ 2013-4-5 02:30 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 21 楼 ...北京最近也去了一趟，记得带好防毒面具~~ 2013-4-5 02:42 0
cshcmq 雪币： 427 活跃值： (488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 22 楼 anti anitanit 无底洞~不知害死多少人~ 某版本OD结果~ 上传的附件： QQ截图20130405101800.png （2.05kb，2次下载） 2013-4-5 10:20 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 23 楼 z怎么都删除了呢 2013-4-5 20:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

elianmeng

发帖

707

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 2 楼双击发现被调试，但没有 SOD 参与（无语） OD 加载运行发现被调试，但没有 SOD 参与（ SOD 加载了的） 2013-4-4 23:05 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 3 楼 "双击发现被调试，但没有 SOD 参与（无语）" 对不起我刚对win7做了测试，的确win7可以自己用所有权限打开自己，我只测试了xp 我修改代码麻烦一会儿再测试 OD 加载运行发现被调试，但没有 SOD 参与（ SOD 加载了的）这个就不说了双击都过不了，这个肯定是过不了的 2013-4-4 23:20 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 4 楼 win7是可以全权打开自己这个是我的失误，现在已经好了 2013-4-4 23:25 0
Kisesy 雪币： 6528 活跃值： (3449) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 5 楼我这直接运行的话也会出现被调试，杀伤力好大 2013-4-4 23:32 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 6 楼对不起，麻烦大神再下载一下再测试一下 2013-4-4 23:36 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 7 楼我的测试方式，复制2份od，改了一些东西，比如sod的XX啊YY啊~ 把一份od的sod开启kernel mode然后sod驱动ok后，关闭第一份od，删除第一份od的插件目录，开启第二份od~~ 最后开启你的这个东东... 根本没关心代码是什么样的，或者你做了什么样的检测~ 今天白天事情太多了，没看帖子~不知道这样又怎样呢~ 2013-4-5 00:06 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 8 楼实在不明白楼主到底想说明什么？反调试难道就是一个技术点就可以做到么? 就算楼主你这个方法很牛逼，可是我打开OD直接跳过你这个检测是否被调试的Call，后面就有如无人之境，你这一个方法有什么用？就好比你用一个IsDebugPresent函数来做anti-deug，却被别人一个jmp就anti了你的anti-debug。反调试要做好是需要全方位+持续检测的，不要纠结与一两个技术点上，调试器是死的，但是人是活的。有兴趣的去看看快播的反调试机制，比你在这里天天因为这一两个技术点上争吵有意义多了。 2013-4-5 00:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼 jmp过去没啥意义，他万一加了VM,你还能找到么~~~ 话说，单纯这个技术不是太靠谱。现在都是靠云扫描了~呵呵~ 2013-4-5 00:20 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 10 楼还是不给力啊不给力，无论开不开kernelmodue模块，这个bin都痴线了。。楼主你还有很长的路走。要想搞anti-antidebug，先搞定easydebugger+sod的结合体的各种组合吧。上传的附件： 1.png （45.32kb，5次下载） 2.png （42.19kb，3次下载） 2013-4-5 00:24 0
Kisesy 雪币： 6528 活跃值： (3449) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 11 楼挺有用的，有些OD能被检测出来不过某些例外... 上传的附件： 001.png （26.71kb，1次下载） 2013-4-5 00:31 0
tishion 雪币： 496 活跃值： (291) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 12 楼说的也是，我是小白，只是最近碰到一个加了anti-debug的程序，现在进度还比较慢，多学习学习。 2013-4-5 00:35 0
xtayaitak 雪币： 106 活跃值： (579) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 216 粉丝 0 关注私信	xtayaitak 13 楼还是不错的。楼主代码发我一份，我看看。。 2013-4-5 00:46 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 14 楼都懒得分析了, 左边直接运行, 右边OD运行 2013-4-5 00:48 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 15 楼好的谢谢各位大牛返回意见我明天早上要去北京最近几天我又一个很重的面试机会等我从北京回来，我再修改我的Bug 在这里先说一声对不起，没有及时的修复特别是V大，我知道你们一直在引导我 2013-4-5 01:01 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 16 楼 [QUOTE=Diabloking;1161781]都懒得分析了, 左边直接运行, 右边OD运行 [/QUOTE] 能否说一下浮现步骤？我测试了一下先直接运行程序，接着再用od加载跑，结果是正确的啊 2013-4-5 01:06 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 17 楼这个是我的测试结果上传的附件： a.gif （15.61kb，2次下载） 2013-4-5 01:11 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 18 楼我还是可以检测出来的，我这是这样做的，我遍历所有安装的驱动，根据路径，再找dll文件，再到导出表，如果找到就立即退出，否则继续找，也就是说你弄二份我还是可以检测出来我想应该有一种方法可以让我检测不出来，可以让驱动和dll分开，这样我虽然得到驱动的路径但是却得不到dll的路径。我估计下次sod更新应该会这么做吧 2013-4-5 01:27 0
yimingqpa 雪币： 6556 活跃值： (4356) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 499 粉丝 53 关注私信	yimingqpa 1 19 楼亮点真心不大,用到的方法就下面这几样啊? if ( sub_4013C0(&v5) \|\| sub_401000((_DWORD )&v5) && !sub_4014B0() \|\| sub_401210(&v5) && !sub_4014B0() ) v4 = (_UNKNOWN *)"发现了sod"; else v4 = &unk_40C494; v3 = GetProcAddress(v1, "ZwSetInformationProcess"); v4 = GetProcAddress(v2, "ZwQueryInformationProcess"); v2 = CreateFileA("\\\\.\\fengyue0", 0xC0000000u, 3u, 0, 3u, 0x80u, 0); v3 = OpenSCManagerA(0, 0, 0xF003Fu); result = 0; ServiceStatus.dwServiceType = 0; ServiceStatus.dwCurrentState = 0; ServiceStatus.dwControlsAccepted = 0; ServiceStatus.dwWin32ExitCode = 0; ServiceStatus.dwServiceSpecificExitCode = 0; ServiceStatus.dwCheckPoint = 0; ServiceStatus.dwWaitHint = 0; if ( v2 ) { v5 = OpenServiceW(v3, v2, 0xF01FFu); v2 = OpenSCManagerW(0, 0, 0xF003Fu); if ( v2 ) { EnumServicesStatusExW(v2, 0, 0x3Bu, 3u, 0, 0, &pcbBytesNeeded, &ServicesReturned, 0, 0); 2013-4-5 01:55 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 20 楼你没弄明白怎么个问题吧，你找到的是第一份，亲，第一份插件目录已经删了，哪有文件？另外有几个OD版本的导入表和导出表也不一样了~ 修改版太多，大神太多了~ 2013-4-5 02:30 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 21 楼 ...北京最近也去了一趟，记得带好防毒面具~~ 2013-4-5 02:42 0
cshcmq 雪币： 427 活跃值： (488) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 99 粉丝 0 关注私信	cshcmq 22 楼 anti anitanit 无底洞~不知害死多少人~ 某版本OD结果~ 上传的附件： QQ截图20130405101800.png （2.05kb，2次下载） 2013-4-5 10:20 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 23 楼 z怎么都删除了呢 2013-4-5 20:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复