[讨论]看看这个有趣的anti_od_crackme-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
johnroot 雪币： 227 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 27 粉丝 1 关注私信	johnroot 1 2 楼音乐真好听！ 004791B3:: 0F85 00000000 JNZ 004791B9 \:JMPDOWN 004791B9:: 3B83 28030000 CMP EAX,[EBX+328] \:BYJMP 004791BF:: 0F85 00000000 JNZ 004791C5 这两个不跳就爆破了 2007-5-26 17:28 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 3 楼呵呵，是用OD调试的吗？怎么躲过那个ANTI的？呵呵，他的算法并不太重要哈，反OD有点小把戏。具体讲讲吧 2007-5-26 17:49 0
humourkyo 雪币： 926 活跃值： (397) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 4 楼用PE编辑器载入把RVA数及大小改为10即可 2007-5-28 14:38 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 5 楼有效可否进一步说明一下为何这样改.. 2007-5-28 16:07 0
yaleond 雪币： 244 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 142 粉丝 0 关注私信	yaleond 1 6 楼对啊,为何啊? 现在好多CreakMe都有Anti_Olly的.缺少这方面的... 2007-5-28 18:49 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 7 楼好像还没有人公布正确的注册码吧，我来，不难的 ,典型的非明码，但计算不难 name : ying Computer ID : 6867685745 code : 931111 上传的附件： 1.jpg （23.36kb，184次下载） 2007-5-28 23:19 0
yuwgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	yuwgle 8 楼人家想知道你这个怎么能anti-OD…… 2007-5-29 00:50 0
magicjia 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	magicjia 9 楼关注，希望有人能详细分析一下！！！！ 2007-5-29 13:45 0
benbentaiyang 雪币： 234 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 138 粉丝 0 关注私信	benbentaiyang 1 10 楼我看到楼上的兄弟都说AntiOD，自己下载下来，用OD载入就出现错误提示，没有分析，也无法分析，不过让我想起来我看到过的一片文章，不知道是不是这个原因，大家可以对照试试，我把文章贴下面，希望对大家有所帮助：作者:oHuangKeo 有误之处,忘谅之.学习中... 今在论坛里看到有人发贴说有程序不让OD分析.这很常见了,很多脱壳后的文件,弄得不好还就是不能用OD打开分析.但这种情况是程序一般也是不能运行的.现在的问题就是,程序可以正常运行,可是OD不能打开分析,说"Bad or unknown format of 32-bit executeable file '**.exe'".这句话说这个程序不是有效的32位可执行程序.明明可以运行的嘛. 下面来给大家做个试验再说明原因. 1.用十六进制工具打开NotePad,(别的EXE文件也行.)选中从'PE'开始的大小为0xE0的数据,复制,然后到文件地址为0x40处粘贴.(大家都知道,这里是DOS头的区域,除非在DOS下运行程序才会用到这一段数据.) 2.把后面多余的数据用'0'填上[0x120-0x1BF]. 然后就是修正了.因为PE头位置定位到了0x40,所以得把0x3C处改为0x40.这个大家都是知道的. 3.最后就是关键问题所在了. 把0x54地址的数据改为'8001',就是0x180. 好,现在保存,运行程序看,OK,可以运行,没有问题.用OD再打开试试?哈哈,报错啦. 下面说说原因,有说得不好的地方,大家不要笑话偶. OD在加载程序时,会先对程序进行分析.OD的作者写此程序就只是针对Win32下的PE文件(好像作者现在在开发2.0版本的,是分析64位程序的.)所以有比较SizeOfOptionalHandler,而在PE定义中,这个值是0xE0,是一个定值.OD比较这个值,如果是0xE0就对了,不等就是错误的EXE文件. 我们刚才做的就是改变PE Handler的大小,后面多余的数据填'0'也是有意义的.这就是系统可以正常运行的原因.后面多余的'0'归属于DataDirectory中了.系统在加载时只加载16组数据,后面的顶多算为是PE结构的保留数据,好像在前16组中,也是有保留数据的.所以不会出错. 附件中有我修改PE文件的录相,可以下载参考一下. 修复这一BUG方法,把0045C671处的je改为jge,就是大于等于就可以了. 通过小小修改PE就可以不让OD加载,但这也都是些小花样.OD的BUG是可以补的嘛.一定还会有更多的BUG,有待大家的发现. 附件没有传上来，感兴趣的在FCG的论坛上可以找到这篇文章！ 2007-5-30 08:16 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 11 楼谢谢 benbentaiyang，学习了 2007-5-30 08:32 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 12 楼本来是PE文件，结果是他认错了，就不要让他去乱认遇到类似情况，一律改成jmp 2007-5-30 09:57 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 13 楼但是这个AntiOD显然不是这个原因。因为OllyICE是修复了这个Bug的。 0045C666 . C1E1 03 shl ecx, 3 0045C669 . 81C1 E0000000 add ecx, 0E0 0045C66F . 3BD1 cmp edx, ecx 0045C671 . 7D 07 jge short 0045C67A ;＝＝＝＝＝＝＝＝看这里 0045C673 . C745 F4 02000>mov dword ptr [ebp-C], 2 0045C67A > 837D F4 00 cmp dword ptr [ebp-C], 0 0045C67E . 75 24 jnz short 0045C6A4 同样是会出现加载错误的。 2007-5-30 20:22 0
benbentaiyang 雪币： 234 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 138 粉丝 0 关注私信	benbentaiyang 1 14 楼恩，我也发现这个问题了，希望能从这篇文章得到一点启发！ 2007-5-30 21:22 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 15 楼我用HexWorkShop对比了一个正常的程序和这个AntiOD程序，只有这个数据不同。事实上，任何一个程序，只要修改这个值，OD都不能加载！并不要做别的什么手脚！ 2007-5-31 07:17 0
magicjia 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	magicjia 16 楼恩，去研究研究PE 2007-5-31 07:21 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 17 楼所以OD那地方一律改成jmp！ 2007-5-31 08:21 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 18 楼学习了。。。。。。 2007-6-11 16:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
johnroot 雪币： 227 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 27 粉丝 1 关注私信	johnroot 1 2 楼音乐真好听！ 004791B3:: 0F85 00000000 JNZ 004791B9 \:JMPDOWN 004791B9:: 3B83 28030000 CMP EAX,[EBX+328] \:BYJMP 004791BF:: 0F85 00000000 JNZ 004791C5 这两个不跳就爆破了 2007-5-26 17:28 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 3 楼呵呵，是用OD调试的吗？怎么躲过那个ANTI的？呵呵，他的算法并不太重要哈，反OD有点小把戏。具体讲讲吧 2007-5-26 17:49 0
humourkyo 雪币： 926 活跃值： (397) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 4 楼用PE编辑器载入把RVA数及大小改为10即可 2007-5-28 14:38 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 5 楼有效可否进一步说明一下为何这样改.. 2007-5-28 16:07 0
yaleond 雪币： 244 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 142 粉丝 0 关注私信	yaleond 1 6 楼对啊,为何啊? 现在好多CreakMe都有Anti_Olly的.缺少这方面的... 2007-5-28 18:49 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 7 楼好像还没有人公布正确的注册码吧，我来，不难的 ,典型的非明码，但计算不难 name : ying Computer ID : 6867685745 code : 931111 上传的附件： 1.jpg （23.36kb，184次下载） 2007-5-28 23:19 0
yuwgle 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	yuwgle 8 楼人家想知道你这个怎么能anti-OD…… 2007-5-29 00:50 0
magicjia 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	magicjia 9 楼关注，希望有人能详细分析一下！！！！ 2007-5-29 13:45 0
benbentaiyang 雪币： 234 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 138 粉丝 0 关注私信	benbentaiyang 1 10 楼我看到楼上的兄弟都说AntiOD，自己下载下来，用OD载入就出现错误提示，没有分析，也无法分析，不过让我想起来我看到过的一片文章，不知道是不是这个原因，大家可以对照试试，我把文章贴下面，希望对大家有所帮助：作者:oHuangKeo 有误之处,忘谅之.学习中... 今在论坛里看到有人发贴说有程序不让OD分析.这很常见了,很多脱壳后的文件,弄得不好还就是不能用OD打开分析.但这种情况是程序一般也是不能运行的.现在的问题就是,程序可以正常运行,可是OD不能打开分析,说"Bad or unknown format of 32-bit executeable file '**.exe'".这句话说这个程序不是有效的32位可执行程序.明明可以运行的嘛. 下面来给大家做个试验再说明原因. 1.用十六进制工具打开NotePad,(别的EXE文件也行.)选中从'PE'开始的大小为0xE0的数据,复制,然后到文件地址为0x40处粘贴.(大家都知道,这里是DOS头的区域,除非在DOS下运行程序才会用到这一段数据.) 2.把后面多余的数据用'0'填上[0x120-0x1BF]. 然后就是修正了.因为PE头位置定位到了0x40,所以得把0x3C处改为0x40.这个大家都是知道的. 3.最后就是关键问题所在了. 把0x54地址的数据改为'8001',就是0x180. 好,现在保存,运行程序看,OK,可以运行,没有问题.用OD再打开试试?哈哈,报错啦. 下面说说原因,有说得不好的地方,大家不要笑话偶. OD在加载程序时,会先对程序进行分析.OD的作者写此程序就只是针对Win32下的PE文件(好像作者现在在开发2.0版本的,是分析64位程序的.)所以有比较SizeOfOptionalHandler,而在PE定义中,这个值是0xE0,是一个定值.OD比较这个值,如果是0xE0就对了,不等就是错误的EXE文件. 我们刚才做的就是改变PE Handler的大小,后面多余的数据填'0'也是有意义的.这就是系统可以正常运行的原因.后面多余的'0'归属于DataDirectory中了.系统在加载时只加载16组数据,后面的顶多算为是PE结构的保留数据,好像在前16组中,也是有保留数据的.所以不会出错. 附件中有我修改PE文件的录相,可以下载参考一下. 修复这一BUG方法,把0045C671处的je改为jge,就是大于等于就可以了. 通过小小修改PE就可以不让OD加载,但这也都是些小花样.OD的BUG是可以补的嘛.一定还会有更多的BUG,有待大家的发现. 附件没有传上来，感兴趣的在FCG的论坛上可以找到这篇文章！ 2007-5-30 08:16 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 11 楼谢谢 benbentaiyang，学习了 2007-5-30 08:32 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 12 楼本来是PE文件，结果是他认错了，就不要让他去乱认遇到类似情况，一律改成jmp 2007-5-30 09:57 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 13 楼但是这个AntiOD显然不是这个原因。因为OllyICE是修复了这个Bug的。 0045C666 . C1E1 03 shl ecx, 3 0045C669 . 81C1 E0000000 add ecx, 0E0 0045C66F . 3BD1 cmp edx, ecx 0045C671 . 7D 07 jge short 0045C67A ;＝＝＝＝＝＝＝＝看这里 0045C673 . C745 F4 02000>mov dword ptr [ebp-C], 2 0045C67A > 837D F4 00 cmp dword ptr [ebp-C], 0 0045C67E . 75 24 jnz short 0045C6A4 同样是会出现加载错误的。 2007-5-30 20:22 0
benbentaiyang 雪币： 234 活跃值： (61) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 138 粉丝 0 关注私信	benbentaiyang 1 14 楼恩，我也发现这个问题了，希望能从这篇文章得到一点启发！ 2007-5-30 21:22 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 15 楼我用HexWorkShop对比了一个正常的程序和这个AntiOD程序，只有这个数据不同。事实上，任何一个程序，只要修改这个值，OD都不能加载！并不要做别的什么手脚！ 2007-5-31 07:17 0
magicjia 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	magicjia 16 楼恩，去研究研究PE 2007-5-31 07:21 0
fonge 雪币： 263 活跃值： (10) 能力值： ( LV9，RANK：210 ) 在线值：发帖 38 回帖 1071 粉丝 0 关注私信	fonge 5 17 楼所以OD那地方一律改成jmp！ 2007-5-31 08:21 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 18 楼学习了。。。。。。 2007-6-11 16:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复