[翻译][12月专题]TheMida_defeating_ring0-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[翻译][12月专题]TheMida_defeating_ring0

发表于: 2007-3-15 13:35 19354

[翻译][12月专题]TheMida_defeating_ring0

笨笨雄

2007-3-15 13:35

19354

http://bbs.pediy.com/showthread.php?s=&threadid=25001&highlight=antiantidump

http://bbs.pediy.com/showthread.php?s=&threadid=25564&highlight=antiantidump

为了帮助理解，建议大家先把上面两个连接的文章先看看

本人英语水平有限，有的地方理解不清，语文水平有限，有的地方表达不清

最近想学习RING0的东西，看了看这文章觉得单词还算简单，就翻译了。

原文：
Tutorial: TheMida Defeating Ring0
Author: deroko
http://arteam.accessroot.com/tutorials.html?fid=126

大家就对照着凑合看了

另外说说我从本文总结出的脱未知壳（指没有相关脱壳文档）的一般流程。

（解决anti dump）->dump ->静态分析，判断是何种语言，根据该语言RTL的特点找到并修正OEP->运行该DUMP，得到引起异常的地址，在未脱壳程序中的该地址下内存断点，定位加密IAT或其他加密代码，分析然后修正。

附件在3楼。。。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・4

免费・7

支持

最新回复 (19)
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼感谢笨笨雄所做的翻译，这篇文章感觉还是不错的。另外：附件有不完整，麻烦重新上传一下。 2007-3-15 13:38 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 3 楼上传本地: 上传的附件： themida_defeating_ring0.rar （888.38kb，394次下载） 2007-3-15 14:12 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 4 楼 Thanks 笨笨雄. 2007-3-15 14:17 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 5 楼谢谢分享看完了，感觉能看懂的只是极少数，谢谢笨笨雄翻译！ 2007-3-15 14:35 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 6 楼看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移这是HOOK函数头的，可是2K缺少mov edi,edi。感觉还是脱RING0壳时用中断挂钩的方法会比较通用。另外定位函数尾的方法 ret(c2或者c3)后面有几个byte的90。在WIN2K也不符合该条件。貌似xp开始微软鼓励INLINE HOOK。 TheMida_defeating_ring0我看不明白的地方有两个： 1 如何将kernel32.dll转向到他修改过的ker32.dll，我想在它那篇ANTI DUMP的文章有答案（看ING） 2 修复jmp []那里看不懂 2007-3-15 19:59 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 7 楼最初由笨笨雄* 发布* 看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 ........ X64 Vista有 mov edi,edi 嘛？ ------- 刚才看了一下，并没有 mov edi,edi ,mov rdi,rdi 2007-3-16 16:24 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 8 楼好，两篇都下了，收藏 2007-3-19 08:52 0
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 9 楼收下,等有时间了,看看 2007-3-20 22:16 0
xajin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xajin 10 楼你给的那个网页下不了，多谢了 2007-3-21 10:53 0
kkbing 雪币： 235 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	kkbing 3 11 楼苯苯雄辛苦 2007-3-24 11:01 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼 [QUOTE=笨笨雄;287490]看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移 QUOTE] 引用你的战友一句话:微软曾经可能采用inline hook做过系统补丁... 2007-4-4 19:47 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 13 楼后来看到shoooo在新兵版答问题的时候帖了这个问题的答案。。。才知道我之前的理解错的厉害。。。加上mov edi,edi和在RET后面加上NOP，主要是为了解决HOT PATCH在多线程环境下的问题。短跳2个字节，跳到长跳5个字节，离高人还有很长距离啊 2007-4-5 00:03 0
jarodlau 雪币： 208 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jarodlau 14 楼太强了，就是需要这个文章，精彩！！ 2007-4-28 06:48 0
smileban 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smileban 15 楼辛苦了... 2007-10-3 19:00 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 16 楼下不下来～谢谢 2007-10-18 01:13 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 17 楼 3楼的也不行？ 2007-10-18 19:12 0
kernelwin 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	kernelwin 18 楼非常感谢，有这么多的技术达人，相信看雪是越办越好! 2007-11-4 09:30 0
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 19 楼不太懂　呵呵　正在努力 2007-12-7 11:22 0
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 20 楼不太懂　呵呵　正在努力 2007-12-7 11:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

笨笨雄

212

发帖

3620

回帖

570

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
kanxue 雪币： 47147 活跃值： (20450) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼感谢笨笨雄所做的翻译，这篇文章感觉还是不错的。另外：附件有不完整，麻烦重新上传一下。 2007-3-15 13:38 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 3 楼上传本地: 上传的附件： themida_defeating_ring0.rar （888.38kb，394次下载） 2007-3-15 14:12 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 4 楼 Thanks 笨笨雄. 2007-3-15 14:17 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 5 楼谢谢分享看完了，感觉能看懂的只是极少数，谢谢笨笨雄翻译！ 2007-3-15 14:35 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 6 楼看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移这是HOOK函数头的，可是2K缺少mov edi,edi。感觉还是脱RING0壳时用中断挂钩的方法会比较通用。另外定位函数尾的方法 ret(c2或者c3)后面有几个byte的90。在WIN2K也不符合该条件。貌似xp开始微软鼓励INLINE HOOK。 TheMida_defeating_ring0我看不明白的地方有两个： 1 如何将kernel32.dll转向到他修改过的ker32.dll，我想在它那篇ANTI DUMP的文章有答案（看ING） 2 修复jmp []那里看不懂 2007-3-15 19:59 0
xzchina 雪币： 615 活跃值： (1212) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 7 楼最初由笨笨雄* 发布* 看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 ........ X64 Vista有 mov edi,edi 嘛？ ------- 刚才看了一下，并没有 mov edi,edi ,mov rdi,rdi 2007-3-16 16:24 0
KAN 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 11 回帖 589 粉丝 0 关注私信	KAN 6 8 楼好，两篇都下了，收藏 2007-3-19 08:52 0
Saver 雪币： 538 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 289 粉丝 0 关注私信	Saver 9 楼收下,等有时间了,看看 2007-3-20 22:16 0
xajin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xajin 10 楼你给的那个网页下不了，多谢了 2007-3-21 10:53 0
kkbing 雪币： 235 活跃值： (40) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 163 粉丝 0 关注私信	kkbing 3 11 楼苯苯雄辛苦 2007-3-24 11:01 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼 [QUOTE=笨笨雄;287490]看不懂的可以说出来，交流一下啊我在看antiantidump那篇文章检查到 mov edi,edi push ebp mov ebp,esp 刚好5个字节，符合条件改成jmp(e9)+4字节地址偏移 QUOTE] 引用你的战友一句话:微软曾经可能采用inline hook做过系统补丁... 2007-4-4 19:47 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 13 楼后来看到shoooo在新兵版答问题的时候帖了这个问题的答案。。。才知道我之前的理解错的厉害。。。加上mov edi,edi和在RET后面加上NOP，主要是为了解决HOT PATCH在多线程环境下的问题。短跳2个字节，跳到长跳5个字节，离高人还有很长距离啊 2007-4-5 00:03 0
jarodlau 雪币： 208 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	jarodlau 14 楼太强了，就是需要这个文章，精彩！！ 2007-4-28 06:48 0
smileban 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	smileban 15 楼辛苦了... 2007-10-3 19:00 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 16 楼下不下来～谢谢 2007-10-18 01:13 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 17 楼 3楼的也不行？ 2007-10-18 19:12 0
kernelwin 雪币： 205 能力值： (RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	kernelwin 18 楼非常感谢，有这么多的技术达人，相信看雪是越办越好! 2007-11-4 09:30 0
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 19 楼不太懂　呵呵　正在努力 2007-12-7 11:22 0
cnqdhi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 0 关注私信	cnqdhi 20 楼不太懂　呵呵　正在努力 2007-12-7 11:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复