[原创]利用OD逻辑进行反调试-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]利用OD逻辑进行反调试

发表于: 2014-10-6 03:10 20805

[原创]利用OD逻辑进行反调试

exediy

2014-10-6 03:10

20805

这几天忽然发现在部分进程的GetMessageA下硬件断点,然后删除断点后再执行,进程抛出STATUS_SINGLE_STEP错误.然后仔细研究下发现这涉及一个OD逻辑问题,可以做为攻击点.

首先是代码

VOID WINAPI CheckThread(LPVOID lp)
{
	while (TRUE){
		Sleep(3 * 1000);
		DWORD dwPorcet;
		VirtualProtect((PVOID)0x401000, 5, PAGE_EXECUTE_READWRITE, &dwPorcet);
		DWORD dwAdder = *(DWORD*)0x401000;  ///保护这个地址
		PostMessageA(NULL, NULL, NULL, NULL);     ///保护这个函数执行过程
	}
}

HANDLE  hThread[25];
int _tmain(int argc, _TCHAR* argv[])
{
	for (int i = 0; i < 25; i++)
	{
		Sleep(10);
		hThread[i] = ::CreateThread(NULL, NULL, (LPTHREAD_START_ROUTINE)CheckThread, NULL, NULL, NULL);

	}
	system("pause");
	return 0;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

未命名.jpg （52.95kb，8次下载）
反调试测试.rar （1.27MB，194次下载）
控制台版本.rar （2.92kb，72次下载）
TM截图20141007221204.jpg （81.90kb，9次下载）

收藏・27

免费・3

支持

最新回复 (31) 1 2 ▶
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 2 楼明天就会有DLL出现修补了:) 2014-10-6 03:41 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼这个和攻击点有什么关系？lz可以细说一下吗。不是很懂。。 2014-10-6 06:52 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 4 楼学习了，od不怎么会用。 2014-10-6 08:05 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 5 楼这是要逼大家转 x64_DBG的节奏, 来来来,看看这个 http://x64dbg.com/#credits 2014-10-6 08:54 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 6 楼说实在的我遇到过好多次这种情况常见函数sendmessage postmessage 其实没有什么怕的先用ida看一下函数如果无关精要的加在函数下面下一个断点就ok 接着分析感觉od对MFC界面消息方面处理貌似有点问题 2014-10-6 09:22 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼硬件断点没有删除成功，又是多线程调用访问，这下OD被坑了 2014-10-6 11:46 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 8 楼不只消息方面任何函数地址都可以这么搞,只要是会被执行到的地方下硬断都会造成这个问题,地址函数,只要需要都可以用这个逻辑问题来坑OD 2014-10-6 13:48 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 9 楼这个估计要在MFC中触发，我用控制台测试了一下，貌似不存在这个问题，建议弄个demo上去吧 2014-10-6 20:23 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 10 楼已经增加了可以试下!控制台依然有效哦!而且也是一样崩溃... 2014-10-7 00:54 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼 xp 我测试了在main函数里面下线程的硬件断点断不下来，在线程里下F2断点，进入线程函数里面，再下硬件断点貌似没有任何问题建议你在xp下看看，要不我弄个视频？肯能是操作不当，程序不崩溃由于是xp 所以我重新编译了一个 TestEnc.rar 上传的附件： TestEnc.rar （29.88kb，14次下载） 2014-10-7 07:35 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 12 楼 [QUOTE=elianmeng;1321792]xp 我测试了在main函数里面下线程的硬件断点断不下来，在线程里下F2断点，进入线程函数里面，再下硬件断点貌似没有任何问题建议你在xp下看看，要不我弄个视频？肯能是操作不当，程序不崩溃由于是xp 所以我重新编译了一个 TestEnc.rar[/QUOTE] 是保护地址跟函数也就是地址0x401000 跟函数PostMessageA 你在这两地方下硬件断点.然后断下后去掉硬件断点. 然后再运行.XP下会持续断下,然后最终进程崩溃! 2014-10-7 15:55 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 13 楼弄了一个视频，我测试没有任何崩溃录像3.part1.rar 录像3.part2.rar 上传的附件：录像3.part1.rar （3.00MB，9次下载）录像3.part2.rar （1.99MB，10次下载） 2014-10-7 21:07 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 14 楼 [QUOTE=elianmeng;1321961]弄了一个视频，我测试没有任何崩溃录像3.part1.rar 录像3.part2.rar[/QUOTE] 硬件读断点执行断点上传的附件： TM截图20141007220535.jpg （47.76kb，1次下载） 2014-10-7 22:07 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 15 楼按照你这样我还是测试过一次貌似也不好使还有我仔细测试了在user32dll内存里面会退出如果让PostMessageA函数返回主内存没有任何问题总结：在多线程切换的时候和当前的环境相关而已 2014-10-8 08:37 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 16 楼反回以后你可有取消断点继续让进程运行?????如果代码段是被VM了,你怎么反回呢?这只是一个简单的模型,而且跟环境无关系,OD逻辑问题导致的调试寄存器没有重置!!!!!!! 2014-10-8 13:22 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 17 楼那个CheckThread 只是为了删除硬件断点后，断点位置仍然执行。那其实一个线程就可以了吧？ 2014-10-9 10:29 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 18 楼大致原因是OD在删除硬件断点的时候并没检测是否设置成功.导致OD已经确定删除断点,断点位置OD已经不再处理,但是线程的调试寄存器依然有效,结果存在无人管理的调试寄存器,最后触发STATUS_SINGLE_STEP异常时OD不进行处理而把异常抛给系统,系统又抛给程序,程序拒绝处理,最后导致进程崩溃! 为什么删除硬件断点后，线程的调试寄存器仍然有效，是什么原因造成的呢？ 2014-10-9 10:32 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 19 楼调试了下，只要超过两个线程，就会挂掉。删除硬件断点，只对单线程有效？ 2014-10-9 11:15 0
shawge 雪币： 246 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	shawge 20 楼不错，不错，谢谢！ 2014-10-9 11:46 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 21 楼不是说OD删除硬件断点对单线程有效果,而是OD逻辑只是调用下设置线程上下文的函数,并没检测设置是否成功!有存在失败的可能. 2014-10-9 12:15 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 22 楼这个失败的可能性是？ 2014-10-9 14:06 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 23 楼 xp下测试你的附件程序， CC 和硬断 GetMessageA均无任何异常 2014-10-9 14:22 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 24 楼对照我的下断点按照正常的调试过程下断后,执行等待断下后删除硬断.然后继续执行!即可知道结果... 我在笔记本XP下测试依然有效果的. 2014-10-9 14:24 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 25 楼我记得硬件断点是线程相关的吧? 2014-10-10 13:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

exediy

发帖

652

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 2 楼明天就会有DLL出现修补了:) 2014-10-6 03:41 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼这个和攻击点有什么关系？lz可以细说一下吗。不是很懂。。 2014-10-6 06:52 0
option 雪币： 8201 活跃值： (2701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 713 粉丝 1 关注私信	option 4 楼学习了，od不怎么会用。 2014-10-6 08:05 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 5 楼这是要逼大家转 x64_DBG的节奏, 来来来,看看这个 http://x64dbg.com/#credits 2014-10-6 08:54 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 6 楼说实在的我遇到过好多次这种情况常见函数sendmessage postmessage 其实没有什么怕的先用ida看一下函数如果无关精要的加在函数下面下一个断点就ok 接着分析感觉od对MFC界面消息方面处理貌似有点问题 2014-10-6 09:22 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼硬件断点没有删除成功，又是多线程调用访问，这下OD被坑了 2014-10-6 11:46 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 8 楼不只消息方面任何函数地址都可以这么搞,只要是会被执行到的地方下硬断都会造成这个问题,地址函数,只要需要都可以用这个逻辑问题来坑OD 2014-10-6 13:48 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 9 楼这个估计要在MFC中触发，我用控制台测试了一下，貌似不存在这个问题，建议弄个demo上去吧 2014-10-6 20:23 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 10 楼已经增加了可以试下!控制台依然有效哦!而且也是一样崩溃... 2014-10-7 00:54 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼 xp 我测试了在main函数里面下线程的硬件断点断不下来，在线程里下F2断点，进入线程函数里面，再下硬件断点貌似没有任何问题建议你在xp下看看，要不我弄个视频？肯能是操作不当，程序不崩溃由于是xp 所以我重新编译了一个 TestEnc.rar 上传的附件： TestEnc.rar （29.88kb，14次下载） 2014-10-7 07:35 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 12 楼 [QUOTE=elianmeng;1321792]xp 我测试了在main函数里面下线程的硬件断点断不下来，在线程里下F2断点，进入线程函数里面，再下硬件断点貌似没有任何问题建议你在xp下看看，要不我弄个视频？肯能是操作不当，程序不崩溃由于是xp 所以我重新编译了一个 TestEnc.rar[/QUOTE] 是保护地址跟函数也就是地址0x401000 跟函数PostMessageA 你在这两地方下硬件断点.然后断下后去掉硬件断点. 然后再运行.XP下会持续断下,然后最终进程崩溃! 2014-10-7 15:55 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 13 楼弄了一个视频，我测试没有任何崩溃录像3.part1.rar 录像3.part2.rar 上传的附件：录像3.part1.rar （3.00MB，9次下载）录像3.part2.rar （1.99MB，10次下载） 2014-10-7 21:07 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 14 楼 [QUOTE=elianmeng;1321961]弄了一个视频，我测试没有任何崩溃录像3.part1.rar 录像3.part2.rar[/QUOTE] 硬件读断点执行断点上传的附件： TM截图20141007220535.jpg （47.76kb，1次下载） 2014-10-7 22:07 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 15 楼按照你这样我还是测试过一次貌似也不好使还有我仔细测试了在user32dll内存里面会退出如果让PostMessageA函数返回主内存没有任何问题总结：在多线程切换的时候和当前的环境相关而已 2014-10-8 08:37 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 16 楼反回以后你可有取消断点继续让进程运行?????如果代码段是被VM了,你怎么反回呢?这只是一个简单的模型,而且跟环境无关系,OD逻辑问题导致的调试寄存器没有重置!!!!!!! 2014-10-8 13:22 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 17 楼那个CheckThread 只是为了删除硬件断点后，断点位置仍然执行。那其实一个线程就可以了吧？ 2014-10-9 10:29 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 18 楼大致原因是OD在删除硬件断点的时候并没检测是否设置成功.导致OD已经确定删除断点,断点位置OD已经不再处理,但是线程的调试寄存器依然有效,结果存在无人管理的调试寄存器,最后触发STATUS_SINGLE_STEP异常时OD不进行处理而把异常抛给系统,系统又抛给程序,程序拒绝处理,最后导致进程崩溃! 为什么删除硬件断点后，线程的调试寄存器仍然有效，是什么原因造成的呢？ 2014-10-9 10:32 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 19 楼调试了下，只要超过两个线程，就会挂掉。删除硬件断点，只对单线程有效？ 2014-10-9 11:15 0
shawge 雪币： 246 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	shawge 20 楼不错，不错，谢谢！ 2014-10-9 11:46 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 21 楼不是说OD删除硬件断点对单线程有效果,而是OD逻辑只是调用下设置线程上下文的函数,并没检测设置是否成功!有存在失败的可能. 2014-10-9 12:15 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 22 楼这个失败的可能性是？ 2014-10-9 14:06 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 23 楼 xp下测试你的附件程序， CC 和硬断 GetMessageA均无任何异常 2014-10-9 14:22 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 24 楼对照我的下断点按照正常的调试过程下断后,执行等待断下后删除硬断.然后继续执行!即可知道结果... 我在笔记本XP下测试依然有效果的. 2014-10-9 14:24 0
hulucc 雪币： 81 活跃值： (100) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 25 楼我记得硬件断点是线程相关的吧? 2014-10-10 13:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复