[求助]请问有没搞过新版THEMIDA的antibreakpoints-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (18)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼把反调试线程搞了 2007-7-7 12:19 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 3 楼我把所有调试线程K了，一样不行的。他的反断点是用壳的异常实现的。好像是用了SDK的功能。接管了异常处理。那一块东东返回壳后处理还有VM。能提供一下OD的断点原理来看看吗？CC 内存硬件三种断点的实现原理。 2007-7-7 17:35 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 4 楼反调试好像结束了 VM保护的代码就执行不了啦。。。不晓得。。望高手指教。看来都只能够学着用WinDbg了。 2007-7-7 18:57 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 5 楼那些反调试线程要用于动态解码的不能直接枪毙 2007-7-8 18:17 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 6 楼那些线程断不断都影响不了反断点的功能。偏偏就是代码区的下不了断了。其它的都能下断。肯定是壳干的好事。老是出异常，你们有没遇到新的THEMIDA会这样吗？有没人说一下OD的断点原理？只能在根本上下手了 2007-7-8 19:38 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 7 楼好象中断等级不够,它不会是运行在0级特权上吧 2007-7-8 21:15 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 8 楼低等级代码访问高等级段的话,就会出现异常中断,然后把控制权交由系统处理. 2007-7-8 21:17 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 9 楼我用0级调试器一样给发现了 2007-7-8 22:07 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 10 楼貌似还没有遇到着何种情况 2007-7-8 22:58 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 11 楼能不能讲解一下硬件断点，CC等的断点的原理。现在我给他几个SEH链的异常搞得晕头转向。像是用了THEMIDA的SDK反断点。外面一般不是经常能见到。 2007-7-8 23:39 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 12 楼可能是它更改了IDT中断描述符表里的中断号地址入口.楼主检查一下.断点是由处理器里一组DR0-DR7的调试寄存器控制的. 2007-7-9 07:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 13 楼 http://deroko.phearless.org/index.html 2007-7-9 09:51 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 14 楼查看了一下资料．觉得能够做到以上功能的只有两种可能.一个是修改中断符表里中断号的入口地址，然后在中断号入口地址里连上自己写的服务程序．因为对于整个系统来说，中断符表只有一个.这样当出现中断时，处理器就会跑到对应的中断号入口地址里运行它的服务程序. 要修改中断描述符表就必然要用到装入中断描述符表寄存器指令　ＬＩＤＴ　和ＳＩＤＴ　保存中断描述符表寄存器指令. 另一个就是它使用了页面（页面是按固定大小组成的内存空间，如８０３８６的页大小为４ＫＢ，１０２４个页组成一个特殊页，１０２４个特殊页组成一个特殊爷组.由ＣＲ０－ＣＲ３控制寄存组控制）保护特性.页面保护的特性是，当控制寄存器ＣＲ０的Ｄ16位ＷＰ＝１时用户级的页面对核心级的访问（０级特权）进行写保护.也就是０级特权不能对该页的用户级内存空间进行修改.只有当ＷＰ＝０时，才允许核心代码对用户级只读页面进行改写. 如果要使用页面保护的话，就得修改ＣＲ０寄存器的ＷＰ．操作此寄存器的指令为　ＬＭＳＷ　装入机器状态指令. 2007-7-9 11:07 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 15 楼对于双核机器来说，就有两张IDT 2007-7-9 23:50 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 16 楼好像是挺难搞的弄不出来 2007-7-10 05:14 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 17 楼 hook NtSetInformationThread 就可以用硬件断点调试了 2007-7-10 10:02 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 18 楼问题解决。封帖。 2007-7-11 13:13 0
zzz3265 雪币： 251 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	zzz3265 19 楼什么版本的THEMIDA?? ollyice可以调试哈, 以前的帖子有我试过1.9的 API的代码重新产生,可能没办法下断点但是可以下到API调用的子函数里面 2007-7-25 11:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (18)
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 2 楼把反调试线程搞了 2007-7-7 12:19 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 3 楼我把所有调试线程K了，一样不行的。他的反断点是用壳的异常实现的。好像是用了SDK的功能。接管了异常处理。那一块东东返回壳后处理还有VM。能提供一下OD的断点原理来看看吗？CC 内存硬件三种断点的实现原理。 2007-7-7 17:35 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 4 楼反调试好像结束了 VM保护的代码就执行不了啦。。。不晓得。。望高手指教。看来都只能够学着用WinDbg了。 2007-7-7 18:57 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 5 楼那些反调试线程要用于动态解码的不能直接枪毙 2007-7-8 18:17 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 6 楼那些线程断不断都影响不了反断点的功能。偏偏就是代码区的下不了断了。其它的都能下断。肯定是壳干的好事。老是出异常，你们有没遇到新的THEMIDA会这样吗？有没人说一下OD的断点原理？只能在根本上下手了 2007-7-8 19:38 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 7 楼好象中断等级不够,它不会是运行在0级特权上吧 2007-7-8 21:15 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 8 楼低等级代码访问高等级段的话,就会出现异常中断,然后把控制权交由系统处理. 2007-7-8 21:17 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 9 楼我用0级调试器一样给发现了 2007-7-8 22:07 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 10 楼貌似还没有遇到着何种情况 2007-7-8 22:58 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 11 楼能不能讲解一下硬件断点，CC等的断点的原理。现在我给他几个SEH链的异常搞得晕头转向。像是用了THEMIDA的SDK反断点。外面一般不是经常能见到。 2007-7-8 23:39 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 12 楼可能是它更改了IDT中断描述符表里的中断号地址入口.楼主检查一下.断点是由处理器里一组DR0-DR7的调试寄存器控制的. 2007-7-9 07:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 13 楼 http://deroko.phearless.org/index.html 2007-7-9 09:51 0
lvming 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	lvming 14 楼查看了一下资料．觉得能够做到以上功能的只有两种可能.一个是修改中断符表里中断号的入口地址，然后在中断号入口地址里连上自己写的服务程序．因为对于整个系统来说，中断符表只有一个.这样当出现中断时，处理器就会跑到对应的中断号入口地址里运行它的服务程序. 要修改中断描述符表就必然要用到装入中断描述符表寄存器指令　ＬＩＤＴ　和ＳＩＤＴ　保存中断描述符表寄存器指令. 另一个就是它使用了页面（页面是按固定大小组成的内存空间，如８０３８６的页大小为４ＫＢ，１０２４个页组成一个特殊页，１０２４个特殊页组成一个特殊爷组.由ＣＲ０－ＣＲ３控制寄存组控制）保护特性.页面保护的特性是，当控制寄存器ＣＲ０的Ｄ16位ＷＰ＝１时用户级的页面对核心级的访问（０级特权）进行写保护.也就是０级特权不能对该页的用户级内存空间进行修改.只有当ＷＰ＝０时，才允许核心代码对用户级只读页面进行改写. 如果要使用页面保护的话，就得修改ＣＲ０寄存器的ＷＰ．操作此寄存器的指令为　ＬＭＳＷ　装入机器状态指令. 2007-7-9 11:07 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 15 楼对于双核机器来说，就有两张IDT 2007-7-9 23:50 0
nisila 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	nisila 16 楼好像是挺难搞的弄不出来 2007-7-10 05:14 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 17 楼 hook NtSetInformationThread 就可以用硬件断点调试了 2007-7-10 10:02 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 18 楼问题解决。封帖。 2007-7-11 13:13 0
zzz3265 雪币： 251 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 28 粉丝 0 关注私信	zzz3265 19 楼什么版本的THEMIDA?? ollyice可以调试哈, 以前的帖子有我试过1.9的 API的代码重新产生,可能没办法下断点但是可以下到API调用的子函数里面 2007-7-25 11:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复