[原创]发个OD试试-安全工具-看雪-安全社区|安全招聘|kanxue.com

[原创]发个OD试试

发表于: 2007-8-26 20:13 6769

[原创]发个OD试试

softworm

2007-8-26 20:13

6769

发个OD,在我这里SP1,SP2下可以调试Themida.

在fly那里不能用,如果看到提示LoadLibrayEx失败,
就不行了,其实那个不重要,只是取ntoskrnl内一些
数据地址,可以在ring0做的,但代码是以前写的,改
起来比较麻烦,我驱动又菜...

如果蓝屏,不要骂我呵呵.

注意:

1. 会生成一个log.txt文件,调试用的,代码没有删除,
如果变得太大需要手动删除

2. 在我这里,开着K8,偶尔界面会失去响应,这时停止
K8就可以了,不要强行结束OD进程.

3. 插件我只保留了几个,h老兄的插件没有,我习惯
OllyScript,如果你需要用,自己把插件内的OllyDbg.exe
改成Cmd.exe

4. 插件内保留了WindowInfos,如果正常,对OD的窗口handle
为0,拿来测试驱动是否跑起来了的.如果非0,又没有
提示LoadLibrayEx失败,最好重启,用KmdManager卸载hideme.sys,

总之程序很烂,能用就凑合吧

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#[Debuggers]

收藏・5

免费・0

支持

最新回复 (18)
timer 雪币： 148 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 90 粉丝 0 关注私信	timer 2 楼你发的一定test,希望一个惊喜 2007-8-26 20:26 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 3 楼放独门武器出来了：）还是起一个自己合适的名字吧，我硬盘上OD都7-8个版本了，怎么也好区分吧老大，起不来啊？？？提示C000005错误。 10002331 FF15 58C00010 call near dword ptr [1000C058] ; kernel32.LoadLibraryExA 10002337 8945 E0 mov dword ptr [ebp-20], eax 1000233A 8B4D E0 mov ecx, dword ptr [ebp-20] 1000233D 894D CC mov dword ptr [ebp-34], ecx 10002340 8B55 CC mov edx, dword ptr [ebp-34] 10002343 8B45 E0 mov eax, dword ptr [ebp-20] 10002346 0342 3C add eax, dword ptr [edx+3C] call 返回为0，直接造成2346访问异常。 2007-8-26 20:27 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 4 楼重新传一次,上面的是旧的,LoadLibraryEx失败应报个错的我也不知道怎么回事,fly那里也是调用LoadLibraryEx失败, 难道只有我这能用不行只有算了,找时间把那些代码挪到ring0 DLL重新编译了一下,在19楼上传的附件： OllyDbg110 Final.part1.rar （980.00kb，226次下载） OllyDbg110 Final.part2.rar （955.70kb，397次下载） 2007-8-26 21:12 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 5 楼晕了,是不是有什么别的软件搞鬼要不是你们的SP2跟我的不一样?我很少在线升级,我这里在NIS和K8下都可以的真成了独门武器了嘿嘿上传的附件： tmd.jpg （95.79kb，820次下载） 2007-8-26 21:17 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 6 楼 winxp SP2 中文版 KAV6未开启 1.9.3.0 Demo 主程序测试通过 " /> 上传的附件： Ys34.jpg （97.63kb，765次下载） 2007-8-26 21:51 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 7 楼 fly的od很怪异我弄的插件他那也用不了 2007-8-26 21:58 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 8 楼我没有写过OD插件,这是以前写的,直接在OD引入表内加的,不是OD的问题. h老大试试直接写几行代码,瞧瞧加载ntoskrnl.exe为什么失败 HINSTANCE hKernel = LoadLibraryEx(szKernel, 0,DONT_RESOLVE_DLL_REFERENCES); 我原来的代码是这样的,参数有问题? 也许应该用LOAD_LIBRARY_AS_DATAFILE 2007-8-26 22:15 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 9 楼别人的机器不一定都是ntoskrnl.exe 还可能是ntkrnlmp.exe、ntkrnlpa.exe、ntkrpamp.exe 2007-8-26 22:35 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 10 楼 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU 2007-8-26 22:43 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 11 楼由于俺拙劣的编程水平,生成文件路径的代码有bug(搞不懂为什么在我这里没事) 重新编译了一个dll, 抱歉抱歉上传的附件： HideMe.rar （41.40kb，85次下载） 2007-8-26 22:46 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 12 楼那为安全起见不要用这个,找错了内核数据更麻烦现在还是用的ntoskrnl.exe,原来的代码是在哪里抄袭的, 一时也先不看了,要知道我眼睛不好使 2007-8-26 22:48 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 13 楼 1.9.1过不了啊 2007-8-26 23:23 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 14 楼测试通过后一次，下一次就没有再能运行起来汗哈哈地下OD共享的第一枪 2007-8-27 00:49 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼大概看了一下原来的代码,在ring3用ZwQuerySystemInformation查ntoskrnl的加载地址,然后直接用返回结果内的文件名调用LoadLibraryEx. 出错的原因可能是SystemModuleInfomation结构有差别,用了结构内ModuleNameOffset和ImageName成员,结构的定义来自<Windows NT/2000 Native API Reference>. 奇怪的是,如果这里有错,通过比较ImageName得到的加载地址也是错的,fly的机器应该运行不起来的(应该BSOD) 以前拼凑的代码问题太多,现在只能是将就用,我再另找时间把程序清理一下. 这只能是没有稳定工具可用时的代用品,如果能用OllyIce还是不要用这个,代码问题太多了, 自己玩玩好象还行,放出来大家用什么问题都来了! 另外不要运行多个实例,不要用来调试NP或rootkit那种本身就要用驱动修改内核的程序建议kanxue升级一下OllyIce,还是用那个比较安全 2007-8-27 09:06 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 16 楼貌似 LoadLibraryEx DONT_RESOLVE_DLL_REFERENCES 不能重载 2007-8-27 09:23 0
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 17 楼我也来test一下.worm放的东西一定要爽一下 2007-8-27 12:05 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 18 楼把那几句最后改了一下,内核文件名只能是ntoskrnl.exe,别的我都没见过,不能乱搞如果再不行,就不是小修改能解决的,以后再说了,不要在W2K/2003下跑, 和我以前放过的od,没有什么anti上的增加,只是处理了一下SP2下PEB地址动态变化的问题,如果OllyIce也是因为这个,很好改的,我还是等着用OllyIce. 还是写文章比较安全上传的附件： HideMe.rar （41.44kb，83次下载） 2007-8-27 12:26 0
HotMousE 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	HotMousE 19 楼 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU 2003 sp1 双核CPU 2007-12-7 20:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

softworm

发帖

1050

回帖

1210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
timer 雪币： 148 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 90 粉丝 0 关注私信	timer 2 楼你发的一定test,希望一个惊喜 2007-8-26 20:26 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 3 楼放独门武器出来了：）还是起一个自己合适的名字吧，我硬盘上OD都7-8个版本了，怎么也好区分吧老大，起不来啊？？？提示C000005错误。 10002331 FF15 58C00010 call near dword ptr [1000C058] ; kernel32.LoadLibraryExA 10002337 8945 E0 mov dword ptr [ebp-20], eax 1000233A 8B4D E0 mov ecx, dword ptr [ebp-20] 1000233D 894D CC mov dword ptr [ebp-34], ecx 10002340 8B55 CC mov edx, dword ptr [ebp-34] 10002343 8B45 E0 mov eax, dword ptr [ebp-20] 10002346 0342 3C add eax, dword ptr [edx+3C] call 返回为0，直接造成2346访问异常。 2007-8-26 20:27 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 4 楼重新传一次,上面的是旧的,LoadLibraryEx失败应报个错的我也不知道怎么回事,fly那里也是调用LoadLibraryEx失败, 难道只有我这能用不行只有算了,找时间把那些代码挪到ring0 DLL重新编译了一下,在19楼上传的附件： OllyDbg110 Final.part1.rar （980.00kb，226次下载） OllyDbg110 Final.part2.rar （955.70kb，397次下载） 2007-8-26 21:12 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 5 楼晕了,是不是有什么别的软件搞鬼要不是你们的SP2跟我的不一样?我很少在线升级,我这里在NIS和K8下都可以的真成了独门武器了嘿嘿上传的附件： tmd.jpg （95.79kb，820次下载） 2007-8-26 21:17 0
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 6 楼 winxp SP2 中文版 KAV6未开启 1.9.3.0 Demo 主程序测试通过 " /> 上传的附件： Ys34.jpg （97.63kb，765次下载） 2007-8-26 21:51 0
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 7 楼 fly的od很怪异我弄的插件他那也用不了 2007-8-26 21:58 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 8 楼我没有写过OD插件,这是以前写的,直接在OD引入表内加的,不是OD的问题. h老大试试直接写几行代码,瞧瞧加载ntoskrnl.exe为什么失败 HINSTANCE hKernel = LoadLibraryEx(szKernel, 0,DONT_RESOLVE_DLL_REFERENCES); 我原来的代码是这样的,参数有问题? 也许应该用LOAD_LIBRARY_AS_DATAFILE 2007-8-26 22:15 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 9 楼别人的机器不一定都是ntoskrnl.exe 还可能是ntkrnlmp.exe、ntkrnlpa.exe、ntkrpamp.exe 2007-8-26 22:35 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 10 楼 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU 2007-8-26 22:43 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 11 楼由于俺拙劣的编程水平,生成文件路径的代码有bug(搞不懂为什么在我这里没事) 重新编译了一个dll, 抱歉抱歉上传的附件： HideMe.rar （41.40kb，85次下载） 2007-8-26 22:46 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 12 楼那为安全起见不要用这个,找错了内核数据更麻烦现在还是用的ntoskrnl.exe,原来的代码是在哪里抄袭的, 一时也先不看了,要知道我眼睛不好使 2007-8-26 22:48 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 13 楼 1.9.1过不了啊 2007-8-26 23:23 0
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 424 粉丝 0 关注私信	卡秋莎 14 楼测试通过后一次，下一次就没有再能运行起来汗哈哈地下OD共享的第一枪 2007-8-27 00:49 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 15 楼大概看了一下原来的代码,在ring3用ZwQuerySystemInformation查ntoskrnl的加载地址,然后直接用返回结果内的文件名调用LoadLibraryEx. 出错的原因可能是SystemModuleInfomation结构有差别,用了结构内ModuleNameOffset和ImageName成员,结构的定义来自<Windows NT/2000 Native API Reference>. 奇怪的是,如果这里有错,通过比较ImageName得到的加载地址也是错的,fly的机器应该运行不起来的(应该BSOD) 以前拼凑的代码问题太多,现在只能是将就用,我再另找时间把程序清理一下. 这只能是没有稳定工具可用时的代用品,如果能用OllyIce还是不要用这个,代码问题太多了, 自己玩玩好象还行,放出来大家用什么问题都来了! 另外不要运行多个实例,不要用来调试NP或rootkit那种本身就要用驱动修改内核的程序建议kanxue升级一下OllyIce,还是用那个比较安全 2007-8-27 09:06 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 16 楼貌似 LoadLibraryEx DONT_RESOLVE_DLL_REFERENCES 不能重载 2007-8-27 09:23 0
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 17 楼我也来test一下.worm放的东西一定要爽一下 2007-8-27 12:05 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 18 楼把那几句最后改了一下,内核文件名只能是ntoskrnl.exe,别的我都没见过,不能乱搞如果再不行,就不是小修改能解决的,以后再说了,不要在W2K/2003下跑, 和我以前放过的od,没有什么anti上的增加,只是处理了一下SP2下PEB地址动态变化的问题,如果OllyIce也是因为这个,很好改的,我还是等着用OllyIce. 还是写文章比较安全上传的附件： HideMe.rar （41.44kb，83次下载） 2007-8-27 12:26 0
HotMousE 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	HotMousE 19 楼 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU 2003 sp1 双核CPU 2007-12-7 20:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复