[原创][原创]调戏：纯应用层的Anti本地调试器（2）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创][原创]调戏：纯应用层的Anti本地调试器（2）

发表于: 2013-11-25 01:35 21903

[原创][原创]调戏：纯应用层的Anti本地调试器（2）

cvcvxk

2013-11-25 01:35

21903

本文是一个开胃用的（最近论坛不少抛砖的，就是玉石不出啊）。核心内容是怎么搞死SOD的Anti Anti Attach功能。

上一篇Anti中调戏了OD的附加和硬件断点，但是对于SOD而言，反附加还是太苍白，于是突然想起多年前，曾经被大神们使用的一个技巧，于是特来调戏一番SOD。当SOD中开启神秘功能 Anti Anti Attach时，OD附加后暂停的EIP代码中，如果用OD单步 F7会看到如下的一段代码：

这里不难看到一个native级的api，作为一个常年混迹于黑暗世界的调戏师立刻就心生歹意。
如果在这Native API上做个文章，比如取出其返回地址进行一番计较，会不会十分精彩呢。

#include "stdafx.h"
#include <winternl.h>
#include "inlinehook.h"

DWORD GetModuleImageSize(PVOID lphModule);
typedef void (__stdcall *_RtlExitUserThread)(NTSTATUS ExitStatus);

_RtlExitUserThread OldRtlExitUserThread = NULL;
DWORD ntdllBase = 0;
DWORD ntdllSize = 0;
void __stdcall OnRtlExitUserThread(NTSTATUS ExitStatus)
{
	void* __ebp = &__ebp + 2;
	DWORD Eip = *(DWORD *)((DWORD)__ebp+4);
	if (Eip>ntdllBase&&Eip<ntdllBase+ntdllSize)
	{
		OldRtlExitUserThread(ExitStatus);
	}
	else
	{
		TerminateProcess(GetCurrentProcess(),0);
	}
	return ;
}

DWORD WINAPI AAAAThread(LPVOID lparam)
{
	BYTE g_backcode[10]={0};
	ntdllBase = (DWORD)GetModuleHandle(TEXT("ntdll.dll"));
	ntdllSize = GetModuleImageSize((PVOID)ntdllBase);
	PVOID pfnRtlExitUserThread = (PVOID)GetProcAddress(GetModuleHandle(TEXT("ntdll.dll")),"RtlExitUserThread");
	InlineHook((void *)pfnRtlExitUserThread,(void *)OnRtlExitUserThread,(void **)&OldRtlExitUserThread);
	RtlCopyMemory((void *)g_backcode,pfnRtlExitUserThread,10);
	while(1)
	{
		if (memcmp(pfnRtlExitUserThread,g_backcode,10)!=0)
		{
			TerminateProcess(GetCurrentProcess(),0);
		}
		//!!
		Sleep(5000);
	}
	return 0;
}
void InitAAAA()
{
	::CreateThread(NULL,0,AAAAThread,NULL,0,NULL);
}

编译运行，用OD（SOD全开模式！）附加后，正常，按F9直接退出。显示如图：

开胃菜到这里结束了。
主菜请等下一篇。

PS:
IGS游戏安全技术培训
QQ群:48715131
欢迎有兴趣研究各类游戏安全相关技术的人员加入。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

图片1.png （4.70kb，15次下载）
图片2.png （6.15kb，10次下载）

收藏・61

免费・5

支持

最新回复 (23)
lastshoot 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	lastshoot 2 楼我第一，沙发 2013-11-25 01:42 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼继续来占座围观 2013-11-25 02:40 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 4 楼开开胃，吃早饭！ 2013-11-25 09:00 0
SANCDAYE 雪币： 218 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 204 粉丝 7 关注私信	SANCDAYE 5 楼返回地址检测大法 2013-11-25 09:45 0
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 6 楼大清早的吃多了消化不良 2013-11-25 09:48 0
健力宝雪币： 259 活跃值： (279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	健力宝 7 楼泉哥注意身体啊..这么晚还操劳....辛苦了哈 2013-11-25 11:04 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 8 楼哈哈，出第2集了.. 2013-11-26 13:40 0
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 9 楼排排坐分果果 2013-11-27 09:08 0
hoyer 雪币： 3480 活跃值： (246) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 96 粉丝 0 关注私信	hoyer 10 楼前排围观V校。 2013-11-27 10:09 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 11 楼 mark先，有空研究 2013-11-27 10:48 0
vvLinker 雪币： 35 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 12 楼开胃开胃 2013-11-27 19:04 0
friendanx 雪币： 7752 活跃值： (2144) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 13 楼调试的刚刚好。 2013-11-28 10:46 0
小烦雪币： 167 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 14 楼今天是感恩节 2013-11-28 20:25 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 15 楼 very goods 2013-12-2 21:44 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 16 楼学习了，可以发出源码吗？ 2013-12-3 10:20 0
farie 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	farie 17 楼终于转正了，支持一下。 2013-12-4 00:09 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼 http://bbs.pediy.com/showthread.php?t=182148 2013-12-4 00:17 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 19 楼张姿势了，，， 2013-12-4 13:29 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 20 楼这是不是检测RtlExitUserThread的返回地址看看是否在ntdll模块内？全开sod难道不是吗？。。为什么我的sod全开之后没效果 2014-10-15 17:22 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 21 楼学习了哈 2014-12-24 16:23 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 22 楼老V又发贴了来占个位先 2014-12-24 20:05 0
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 23 楼我曾经用这个技术，用在DNF外挂上，用了一个常量存储，另外还开了一个线程做hook点校验，如果有代码走过，立即还原字节，过几分钟来一个无形的关闭游戏！！！！呵呵 2015-1-24 02:57 0
刘星雪币： 230 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	刘星 24 楼好些年都没来了，熟悉下呵呵呵 2015-1-24 19:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
lastshoot 雪币： 75 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	lastshoot 2 楼我第一，沙发 2013-11-25 01:42 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 3 楼继续来占座围观 2013-11-25 02:40 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 4 楼开开胃，吃早饭！ 2013-11-25 09:00 0
SANCDAYE 雪币： 218 活跃值： (223) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 204 粉丝 7 关注私信	SANCDAYE 5 楼返回地址检测大法 2013-11-25 09:45 0
Yecate 雪币： 149 活跃值： (2618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 259 粉丝 6 关注私信	Yecate 6 楼大清早的吃多了消化不良 2013-11-25 09:48 0
健力宝雪币： 259 活跃值： (279) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	健力宝 7 楼泉哥注意身体啊..这么晚还操劳....辛苦了哈 2013-11-25 11:04 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 8 楼哈哈，出第2集了.. 2013-11-26 13:40 0
地狱怪客雪币： 341 活跃值： (133) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1126 粉丝 10 关注私信	地狱怪客 2 9 楼排排坐分果果 2013-11-27 09:08 0
hoyer 雪币： 3480 活跃值： (246) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 96 粉丝 0 关注私信	hoyer 10 楼前排围观V校。 2013-11-27 10:09 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 11 楼 mark先，有空研究 2013-11-27 10:48 0
vvLinker 雪币： 35 活跃值： (86) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 52 粉丝 0 关注私信	vvLinker 12 楼开胃开胃 2013-11-27 19:04 0
friendanx 雪币： 7752 活跃值： (2144) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 13 楼调试的刚刚好。 2013-11-28 10:46 0
小烦雪币： 167 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 14 楼今天是感恩节 2013-11-28 20:25 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 15 楼 very goods 2013-12-2 21:44 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 16 楼学习了，可以发出源码吗？ 2013-12-3 10:20 0
farie 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	farie 17 楼终于转正了，支持一下。 2013-12-4 00:09 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼 http://bbs.pediy.com/showthread.php?t=182148 2013-12-4 00:17 0
JoyFei 雪币： 35 活跃值： (139) 能力值： ( LV7，RANK：100 ) 在线值：发帖 8 回帖 130 粉丝 1 关注私信	JoyFei 2 19 楼张姿势了，，， 2013-12-4 13:29 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 20 楼这是不是检测RtlExitUserThread的返回地址看看是否在ntdll模块内？全开sod难道不是吗？。。为什么我的sod全开之后没效果 2014-10-15 17:22 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 21 楼学习了哈 2014-12-24 16:23 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 22 楼老V又发贴了来占个位先 2014-12-24 20:05 0
GameSafe 雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 113 粉丝 1 关注私信	GameSafe 23 楼我曾经用这个技术，用在DNF外挂上，用了一个常量存储，另外还开了一个线程做hook点校验，如果有代码走过，立即还原字节，过几分钟来一个无形的关闭游戏！！！！呵呵 2015-1-24 02:57 0
刘星雪币： 230 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 29 粉丝 0 关注私信	刘星 24 楼好些年都没来了，熟悉下呵呵呵 2015-1-24 19:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复