[原创]Safengine Shielden 2.3.8.0 脱壳 ∷之∷ 为了能下断-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]Safengine Shielden 2.3.8.0 脱壳 ∷之∷ 为了能下断

发表于: 2017-4-11 09:40 42673

[原创]Safengine Shielden 2.3.8.0 脱壳 ∷之∷ 为了能下断

xiaohang

2017-4-11 09:40

42673

最近又在论坛上看到不少人求Safengine Shielden（以下称SE）的脱壳方法，其实之前论坛里的几位大牛都已经放出过不少牛文，虽然这些牛文是对应老版本的SE的，文中附带的代码可能已经失效，但是里面的方法确实在新版本中依然有效的，可能大神们对自己思路的阐述过于跳跃了，所以难免让新人们有些跟不上。在这里，我把我对大牛们的思路理解放上来，以供参考吧。

SE 2.3.8.0目前已知的最大反调试手段就是anti断点，主要是anti了硬件断点和int3软断点，加壳后无法对被加壳的程序下断，客观上提高了脱壳的难度，所以第一步是要想办法把anti断点去掉。

int3软断点的anti必然是基于内存效验的方法（int3软断点需要修改内存代码），对壳代码进行hash效验保护，如若发现内存有被修改，则结束进程。如果要patch掉内存hash效验，必须知道hash代码的位置，由于SE的垃圾混淆代码很多，更本不可能通过搜索的方式获取，最好的办法就是用硬件断点下一个读取断，所以问题就是要先修复硬件断点。

对于硬件断点，SE采用的是先通过SetThreadContext设置四个DRx寄存器为1byte读取特定地址的断点，然后通过在虚拟机中构造读取特定地址以产生异常，再用SEH handler处理异常，并检测DRx寄存器的值。如果该产生异常的时候没有产生异常，又或者DRx的值不为先前SetThreadContext设定的值，那么就退出进程。

对于内存断点反anti，暂时没有思路，还需要继续研究。

1、先在KiUserExceptionDispatcher下断

2、断下两次后记录

[esp+0x14] = 0012F7FC 00E8A7CA乔巴.00E8A7CA//异常产生的位置，就是后面的vm:ds[imm]位置

3、CPU窗口中显示调试寄存器

DR0 = 00E57016

DR1 = 00E57000

DR2 = 00E57004

DR3 = 00E57008

DR7 = 33330555

由于SE会产生数个线程来进行反调试检测，内存完整性检测等，为了减少干扰项，把SE创建的检测线程先patch掉，不让他启动，可能会对后面的程序运行有副作用，但是便于我一开始的脱壳调试。

PS: SE会把NTDLL.dll和krenel32.dll中的一些代码Shadow到一段自己分配的空间中，所以需要利用内存搜索的方法，搜索特定代码找到这些被Shadow的API。

先在KiUserExceptionDispatcher下断

第一次断下后，搜索特征代码

#8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????5DC21800#

搜索到的代码：

修改函数开头位置为ret 18

00D1FB55 8BFF mov edi, edi ;改成ret 18

SE会调用Shadow_GetThreadContext来检测是否存在调试软件下的硬件断点，如果有就会退出进程。

在刚才搜索到Shadow_CreateThread的内存段内搜索特征代码：

#8BFF558BECFF750CFF7508FF15????????85C00F8C??????0033C0405DC208009090909090#

搜索到的代码：

如果直接修改以上代码会被SE检测到，我的方法是inline hook函数调用KiFastSystemCall之前的地址（壳另外加载了一块内存）

01888ACA FF15 9E088501 call dword ptr [185089E] //获取这里地址

//获取到的地址标准的ntdll.ZwGetContextThread调用

//我构造的代码

壳总是会判断这TlsValue是否等于Dr0+Dr1+Dr2+Dr3之Total值

我们在壳欲取得Drx的值时，将之清为0，并设TlsValue为0

至于SetTlsValue的Index应为多少才对,很多方法可以得知.

例如断Shadow的SetTlsValue ,XP SP2用的Index是4 , XP SP3则是6

这里是重头戏，反anti硬件断点必须从这里开始，由于壳会检测异常信息中的DRx寄存器，所以我们必须在SE的SEH handler被调用前，给_CONTEXT结构中的DRx赋予之前获得的特定值。

_CONTEXT结构如下：

typedef struct _CONTEXT

{

DWORD ContextFlags;

DWORD Dr0;

DWORD Dr1;

DWORD Dr2;

DWORD Dr3;

DWORD Dr6;

DWORD Dr7;

FLOATING_SAVE_AREA FloatSave;

DWORD SegGs;

DWORD SegFs;

DWORD SegEs;

DWORD SegDs;

DWORD Edi;

DWORD Esi;

DWORD Ebx;

DWORD Edx;

DWORD Ecx;

DWORD Eax;

DWORD Ebp;

DWORD Eip;

DWORD SegCs;

DWORD EFlags;

DWORD Esp;

DWORD SegSs;

} CONTEXT;

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・50

免费・4

支持

打赏 + 2.00雪花

demoscene

CCkicker

打赏次数 2

雪花 + 2.00

demoscene	+1.00	2018/08/17
CCkicker	+1.00	2017/05/08

最新回复 (42) 1 2 ▶
mudebug 雪币： 9024 活跃值： (6245) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 2 楼感谢分享，点个赞 2017-4-11 10:42 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 3 楼厉害、。我当时。老想着硬干这个壳，然而各种被反艹 2017-4-11 10:59 0
pxhb 雪币： 6566 活跃值： (4526) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 4 楼好东西，感谢分享 2017-4-11 13:53 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 5 楼厉害！ 2017-4-11 15:28 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼文章不错，感谢分享! 2017-4-11 21:27 0
jjjackup 雪币： 14706 活跃值： (3165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 7 楼感谢分享。 2017-4-11 21:44 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 8 楼学习 2017-4-11 23:09 0
DegerYang 雪币： 346 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 82 粉丝 0 关注私信	DegerYang 9 楼思路清析感谢分享！ 2017-4-12 09:09 0
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 10 楼构造inline hook代码 // hook executehandler2 7C99AFC9 81EB 00060000 sub ebx, 600 //减出myexceptionhandle的地址 7C99AFCF 3B8B FC0F0000 cmp ecx, dword ptr [ebx+FFC] //比较是否是SE的SEHhandler 执行第一句代码后 ebx =? ebx+FFC =? 2017-4-12 14:33 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 11 楼好久没看到脱壳相关的文章了，赞一个 2017-4-12 14:44 0
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 12 楼 MsScotch 构造inline hook代码 // hook executehandler2 7C99AFC9 &a ... 请看完整的代码： 7C99AFC0 E8 00000000 call 7C99AFC5 7C99AFC5 5B pop ebx 7C99AFC6 83EB 05 sub ebx, 5 7C99AFC9 81EB 00060000 sub ebx, 600 //减出myexceptionhandle的地址 7C99AFCF 3B8B FC0F0000 cmp ecx, dword ptr [ebx+FFC] //比较是否是SE的SEHhandler 首先这段代码的空间是用脚步分配出来的， sub ebx , 5 前面的 call 和 pop 是用来获取当前代码内存地址的 ,这种方法在很多病毒和壳代码中都能看到，所以ebx = 7C99AFC0 而 ebx + ffc 也是位于这段代码的空间内，所以 ebx + ffc = 7C99AFC0 - 0x600 + 0xffc 而 [ebx + ffc] 中的值是在第一次断在 KiUserExceptionDispatcher ，在脚步中通过 exec mov eax,fs:[0] 获取的SEHhandler 2017-4-12 23:05 0
Sam.com 雪币： 12688 活跃值： (4294) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 100 粉丝 1 关注私信	Sam.com 13 楼思路清析,通俗易懂,谢谢分享 2017-4-13 02:23 0
Lthis 雪币： 171 活跃值： (519) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 159 粉丝 5 关注私信	Lthis 1 14 楼中间那个乔巴什么意思......... 2017-4-13 19:15 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 15 楼不错几年前我也搞了但后面事情多了又丢在一边了支持一下 2017-4-13 23:02 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 16 楼恩 2017-4-14 07:23 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 17 楼厉害了我的哥。。。。。。 2017-4-14 10:44 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 18 楼 . 2017-4-14 11:48 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 19 楼感谢分享 2017-4-14 11:53 0
DannyZhou 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	DannyZhou 20 楼 ``` 7C99AFC0 E8 00000000 call 7C99AFC5 7C99AFC5 5B pop ebx 7C99AFC6 83EB 05 sub ebx, 5 7C99AFC9 81EB 00060000 sub ebx, 600 //减出myexceptionhandle的地址 7C99AFCF 3B8B FC0F0000 cmp ecx, dword ptr [ebx+FFC] //比较是否是SE的SEHhandler ``` 我还是不明白这个地方， 1. 为什么要减 600？这个只是为了跳转到 `myexceptionHandle` 吗？所以这样我需要把 `myexceptionhandle` 代码放在 `sub ebx, 600` 的位置？ 2. 假设我的 fs:[0] 的值为 ABCDEF 那么这条语句 `cmp ecx, dword ptr [ebx+FFC]` 是不是就可以改成 `cmp ecx ABCDEF` 了？ 2017-4-18 15:21 0
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 21 楼 DannyZhou ``` 7C99AFC0 E8 00000000 call 7C99AFC5 7C99AFC5 5B ... 第一个问题你的理解是正确的，无所谓减多少，只要得出的地址是myexceptionhandler的位置就可以了。第二个问题，请查阅关于段寄存器的定义介绍，查看fs段的定义 2017-4-20 15:22 0
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 22 楼谢谢上面的解释， myexceptionhandle过程中 1.dword ptr [ebx+7E8]的来源是什么？ 24：mov eax, dword ptr [ebx+7E8] //这里考虑可以在hook setthreadcontext中赋值 2. dword ptr [ebx+7FC]的来源是什么？ 41：mov ecx, dword ptr [ebx+7FC] 3.原来的call ecx代码处的ECX值，未保存么？ 2017-5-31 17:27 0
君王传世雪币： 5 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 126 粉丝 0 关注私信	君王传世 23 楼我想问下大神用的什么工具调试下断的,我用OD 上面没有显示DR0 DR1 DR2 ...调试寄存器.是EAX EBX EDX的意思吗?样本能发下吗? 2017-12-2 18:34 0
君王传世雪币： 5 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 126 粉丝 0 关注私信	君王传世 24 楼恕我无知,在OD寄存器窗口右键选择显示调试寄存器. 2017-12-2 19:23 0
eduedu 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	eduedu 25 楼大神，有空能出个视频或者图文教程让我们新手学习学习多好啊。 2017-12-24 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xiaohang

发帖

212

回帖

260

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
mudebug 雪币： 9024 活跃值： (6245) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 308 粉丝 41 关注私信	mudebug 2 楼感谢分享，点个赞 2017-4-11 10:42 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 3 楼厉害、。我当时。老想着硬干这个壳，然而各种被反艹 2017-4-11 10:59 0
pxhb 雪币： 6566 活跃值： (4526) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 421 粉丝 20 关注私信	pxhb 2 4 楼好东西，感谢分享 2017-4-11 13:53 0
OnlyForU 雪币： 346 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 184 粉丝 0 关注私信	OnlyForU 5 楼厉害！ 2017-4-11 15:28 0
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 6 楼文章不错，感谢分享! 2017-4-11 21:27 0
jjjackup 雪币： 14706 活跃值： (3165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 36 粉丝 1 关注私信	jjjackup 7 楼感谢分享。 2017-4-11 21:44 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 8 楼学习 2017-4-11 23:09 0
DegerYang 雪币： 346 活跃值： (45) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 82 粉丝 0 关注私信	DegerYang 9 楼思路清析感谢分享！ 2017-4-12 09:09 0
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 10 楼构造inline hook代码 // hook executehandler2 7C99AFC9 81EB 00060000 sub ebx, 600 //减出myexceptionhandle的地址 7C99AFCF 3B8B FC0F0000 cmp ecx, dword ptr [ebx+FFC] //比较是否是SE的SEHhandler 执行第一句代码后 ebx =? ebx+FFC =? 2017-4-12 14:33 0
luckxiao 雪币： 279 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 284 粉丝 1 关注私信	luckxiao 11 楼好久没看到脱壳相关的文章了，赞一个 2017-4-12 14:44 0
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 12 楼 MsScotch 构造inline hook代码 // hook executehandler2 7C99AFC9 &a ... 请看完整的代码： 7C99AFC0 E8 00000000 call 7C99AFC5 7C99AFC5 5B pop ebx 7C99AFC6 83EB 05 sub ebx, 5 7C99AFC9 81EB 00060000 sub ebx, 600 //减出myexceptionhandle的地址 7C99AFCF 3B8B FC0F0000 cmp ecx, dword ptr [ebx+FFC] //比较是否是SE的SEHhandler 首先这段代码的空间是用脚步分配出来的， sub ebx , 5 前面的 call 和 pop 是用来获取当前代码内存地址的 ,这种方法在很多病毒和壳代码中都能看到，所以ebx = 7C99AFC0 而 ebx + ffc 也是位于这段代码的空间内，所以 ebx + ffc = 7C99AFC0 - 0x600 + 0xffc 而 [ebx + ffc] 中的值是在第一次断在 KiUserExceptionDispatcher ，在脚步中通过 exec mov eax,fs:[0] 获取的SEHhandler 2017-4-12 23:05 0
Sam.com 雪币： 12688 活跃值： (4294) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 100 粉丝 1 关注私信	Sam.com 13 楼思路清析,通俗易懂,谢谢分享 2017-4-13 02:23 0
Lthis 雪币： 171 活跃值： (519) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 159 粉丝 5 关注私信	Lthis 1 14 楼中间那个乔巴什么意思......... 2017-4-13 19:15 0
毁灭雪币： 346 活跃值： (129) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 210 粉丝 6 关注私信	毁灭 2 15 楼不错几年前我也搞了但后面事情多了又丢在一边了支持一下 2017-4-13 23:02 0
zylyy 雪币： 144 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 329 粉丝 2 关注私信	zylyy 16 楼恩 2017-4-14 07:23 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 17 楼厉害了我的哥。。。。。。 2017-4-14 10:44 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 18 楼 . 2017-4-14 11:48 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 19 楼感谢分享 2017-4-14 11:53 0
DannyZhou 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	DannyZhou 20 楼 ``` 7C99AFC0 E8 00000000 call 7C99AFC5 7C99AFC5 5B pop ebx 7C99AFC6 83EB 05 sub ebx, 5 7C99AFC9 81EB 00060000 sub ebx, 600 //减出myexceptionhandle的地址 7C99AFCF 3B8B FC0F0000 cmp ecx, dword ptr [ebx+FFC] //比较是否是SE的SEHhandler ``` 我还是不明白这个地方， 1. 为什么要减 600？这个只是为了跳转到 `myexceptionHandle` 吗？所以这样我需要把 `myexceptionhandle` 代码放在 `sub ebx, 600` 的位置？ 2. 假设我的 fs:[0] 的值为 ABCDEF 那么这条语句 `cmp ecx, dword ptr [ebx+FFC]` 是不是就可以改成 `cmp ecx ABCDEF` 了？ 2017-4-18 15:21 0
xiaohang 雪币： 2166 活跃值： (3226) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 83 关注私信	xiaohang 3 21 楼 DannyZhou ``` 7C99AFC0 E8 00000000 call 7C99AFC5 7C99AFC5 5B ... 第一个问题你的理解是正确的，无所谓减多少，只要得出的地址是myexceptionhandler的位置就可以了。第二个问题，请查阅关于段寄存器的定义介绍，查看fs段的定义 2017-4-20 15:22 0
MsScotch 雪币： 3181 活跃值： (1796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 338 粉丝 3 关注私信	MsScotch 22 楼谢谢上面的解释， myexceptionhandle过程中 1.dword ptr [ebx+7E8]的来源是什么？ 24：mov eax, dword ptr [ebx+7E8] //这里考虑可以在hook setthreadcontext中赋值 2. dword ptr [ebx+7FC]的来源是什么？ 41：mov ecx, dword ptr [ebx+7FC] 3.原来的call ecx代码处的ECX值，未保存么？ 2017-5-31 17:27 0
君王传世雪币： 5 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 126 粉丝 0 关注私信	君王传世 23 楼我想问下大神用的什么工具调试下断的,我用OD 上面没有显示DR0 DR1 DR2 ...调试寄存器.是EAX EBX EDX的意思吗?样本能发下吗? 2017-12-2 18:34 0
君王传世雪币： 5 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 126 粉丝 0 关注私信	君王传世 24 楼恕我无知,在OD寄存器窗口右键选择显示调试寄存器. 2017-12-2 19:23 0
eduedu 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	eduedu 25 楼大神，有空能出个视频或者图文教程让我们新手学习学习多好啊。 2017-12-24 23:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复