-
-
[求助]vmp 3.3.1 的反调试【搞定,换了新电脑,换了x64dbg突然就能过去了】
-
发表于: 2020-5-26 19:31
-
背景
已经在帝都大厂做财务工作八年了,最近突然想提升提升自己,学了python,学了英语口语,顺手破了一个英语学习软件,突然又燃起大学对逆向的兴趣。然后找了找目标,找到了一个下载网易云课堂的软件,虽然软件已经不能用了,但还是想看看他是怎么找的网易云课堂的API接口,然后自己用python实现以下,看能不能做个下载器。
过程
win10 下反调试都过不了,用了SharpOD,SyllaHide都没有用,从youtube学了脱壳的教程,下了一系列检测调试器的API断点都没用,都会弹出MessageBox程序出错,反跟回去,一顿乱跳转,而且没有调用任何api,直接跳到程序出错的MessageBox。Attach到进程一点击按钮也会退出。
求助问题
请问各位大神如何过VMP反调试。不需要脱壳,只是想看看程序的设计,了解网易云课堂的网络接口。
备注
当然我也在尝试利用chrome开发者工具跟接口,但没有发现有效的接口。
欢迎大家讨论指导,不需要帮我破,只想了解下自己卡在反调试的哪个点了。看之前大神的理论,都要利用api才能反调试,利用了哪个api?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
VM反调试里面,调用NtQueryInformationProcess这个API的时候使用了[旁门左道的手法, 在64位程序里面使用32位的API,反之亦然. 理论上SharpOD插件是为VM这个反调试做了Ring3处理的,至于新版的VM我没有使用SharpOD测试过, 要对付这个特殊的SYSCALL处理,最佳的做法就是在Ring0里面拦截它.我是直接使用Ring0拦截它的.
|
|
|
|
|
|
可能是通过https加密方式传输的,wireshark抓不到 |
|
|
|
|
|
哦哦,我试试。另外其实主要是碰到这个壳,又新学了一些脱壳技术,心痒难耐想试试。其实下不下载课程都变成其次了, 
|
|
|
感谢感谢。 刚刚补学了下R0的东西,从github上下载了Windows-Kernel-Explorer https://github.com/AxtMueller/Windows-Kernel-Explorer/tree/master/binaries 查了下确实发现了他有hook这个:NtQueryInformationProcess 但是程序里就是断不下来,不太了解用什么工具来做R0的拦截?能否在x64dbg里面实现?
|
|
|
下载了fiddler,配置了https,还是不能抓取到,不知道什么原因还是抓取不到
|
|
|
这个配色能分享下吗,很喜欢。 |
|
|
|
|
|
从日志上看好像不支持,不知道是不是我系统的问题 [ScyllaHide] Failed to map image! [SharpOD x64] inject kernel dll fail... INT3 断点 "入口断点" 于 <网易云课堂课程下载器v2.51免费版.EntryPoint> (011C2EEA)! [TITANHIDE] hiding 38E4 (14564d) [TITANHIDE] could not open TitanHide handle |
|
|
可能外观稍微不同,因为我的X64DBG是经过订制修改过的 |
|
|
TITANHIDE是两部分组成的,其中一个是驱动文件(.sys后缀名的), 你需要安装这个驱动才能使用TITANHIDE,而安装这些驱动的话,是需要过PG才行的,要不然会蓝屏. 至于怎么过PG,你去TITANHIDE的项目README里面有说到. ScyllaHide和SharpOD可能有冲突,你使用其中一个吧. |
|
|
|
|
|
|
|
|
 3Q
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Rookietp
