首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 加壳脱壳
    3. 发新帖
[讨论]HideOD与Themida
发表于: 2007-5-8 20:01 7771

[讨论]HideOD与Themida

icefall 活跃值
1
2007-5-8 20:01
7771
PEid显示themida 1.0.0.5 -> Oreans Technologies 无驱动时,如下设置HideOD:
Auto run HideOD
HideNtDebugBit
Method1
程序可以跑起来,但采用附加进程方式中断后F9 程序和OllyIce就同时退出了

Peid显示Themida/WinLicense V1.8.2.0 +  -> Oreans Technologies 时,上面那个设置还是能让themida检测出来,跟踪到这里:
0065D3CC    60              PUSHAD
0065D3CD    83BD C1027409 0>CMP DWORD PTR SS:[EBP+97402C1],0
0065D3D4    0F84 05000000   JE lbb.0065D3DF
0065D3DA    E9 5C000000     JMP lbb.0065D43B
0065D3DF    6A 00           PUSH 0
0065D3E1    803E 30         CMP BYTE PTR DS:[ESI],30
0065D3E4    0F85 08000000   JNZ lbb.0065D3F2
0065D3EA    6A 00           PUSH 0
0065D3EC    46              INC ESI
0065D3ED    E9 35000000     JMP lbb.0065D427
0065D3F2    803E 33         CMP BYTE PTR DS:[ESI],33
0065D3F5    0F85 08000000   JNZ lbb.0065D403
0065D3FB    6A 10           PUSH 10
0065D3FD    46              INC ESI
0065D3FE    E9 24000000     JMP lbb.0065D427
0065D403    803E 34         CMP BYTE PTR DS:[ESI],34
0065D406    0F85 08000000   JNZ lbb.0065D414
0065D40C    6A 30           PUSH 30
0065D40E    46              INC ESI
0065D40F    E9 13000000     JMP lbb.0065D427
0065D414    803E 35         CMP BYTE PTR DS:[ESI],35
0065D417    0F85 08000000   JNZ lbb.0065D425
0065D41D    6A 40           PUSH 40
0065D41F    46              INC ESI
0065D420    E9 02000000     JMP lbb.0065D427
0065D425    6A 00           PUSH 0
0065D427    8D85 CD117409   LEA EAX,DWORD PTR SS:[EBP+97411CD]
0065D42D    90              NOP
0065D42E    50              PUSH EAX        ASCII"Themida"
0065D42F    90              NOP
0065D430    96              XCHG EAX,ESI
0065D431    50              PUSH EAX        ASCII"A debugger has been found running in your system.
Please, unload it from memory and restart your program."
0065D432    96              XCHG EAX,ESI
0065D433    6A 00           PUSH 0
0065D435    FF95 D9257409   CALL DWORD PTR SS:[EBP+97425D9]        把MessageBoxExW搬到壳里,这里调用
{
00ECF9FC    8BFF            MOV EDI,EDI                              ; lbb.005B1501
00ECF9FE    55              PUSH EBP
00ECF9FF    8BEC            MOV EBP,ESP
00ECFA01    6A FF           PUSH -1
00ECFA03    FF75 18         PUSH DWORD PTR SS:[EBP+18]
00ECFA06    FF75 14         PUSH DWORD PTR SS:[EBP+14]
00ECFA09    FF75 10         PUSH DWORD PTR SS:[EBP+10]
00ECFA0C    FF75 0C         PUSH DWORD PTR SS:[EBP+C]
00ECFA0F    FF75 08         PUSH DWORD PTR SS:[EBP+8]
00ECFA12    E8 C55B0100     CALL 00EE55DC
00ECFA17    5D              POP EBP
00ECFA18    C2 1400         RETN 14
}
0065D43B    61              POPAD
0065D43C    C3              RETN

在上面两种情况下,大家是怎样设置的HideOD呢?另外哪里有HideOD的源码?

这个修改版可以顺利跑起来:http://www.unpack.cn/viewthread.php?tid=11131&highlight=%B9%FD%C7%BF%BF%C7
另外Themida有检测到被调试自动关机的功能吗?最近电脑老是自动关机,很是奇怪

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (4)
circleyl
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我也想知道啊!我的od调themida时也被检测出来了!!
2007-5-18 16:17
0
个人兴趣
雪    币: 211
活跃值: (32)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
   HIDEOD对THEMIDA没有用啊,,我的机子上打不开THEMIDA
2007-5-19 09:47
0
kanxue
雪    币: 44229
活跃值: (19955)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
4
用这个OD试试:
http://www.pediy.com/tools/Debuggers/ollydbg/OllyICE.rar

Hideod选项设置注意一下,仅选 HideNtDebugBit,ZwQueryInformationProcess
2007-5-19 11:02
0
HaiNaby
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
坛主 感谢你
2007-6-28 21:15
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//