[原创]发个OD试试-资源下载-看雪-安全社区|安全招聘|kanxue.com

[原创]发个OD试试

2007-8-26 20:13 6581

[原创]发个OD试试

softworm

2007-8-26 20:13

6581

发个OD,在我这里SP1,SP2下可以调试Themida.

在fly那里不能用,如果看到提示LoadLibrayEx失败,
就不行了,其实那个不重要,只是取ntoskrnl内一些
数据地址,可以在ring0做的,但代码是以前写的,改
起来比较麻烦,我驱动又菜...

如果蓝屏,不要骂我呵呵.

注意:

1. 会生成一个log.txt文件,调试用的,代码没有删除,
如果变得太大需要手动删除

2. 在我这里,开着K8,偶尔界面会失去响应,这时停止
K8就可以了,不要强行结束OD进程.

3. 插件我只保留了几个,h老兄的插件没有,我习惯
OllyScript,如果你需要用,自己把插件内的OllyDbg.exe
改成Cmd.exe

4. 插件内保留了WindowInfos,如果正常,对OD的窗口handle
为0,拿来测试驱动是否跑起来了的.如果非0,又没有
提示LoadLibrayEx失败,最好重启,用KmdManager卸载hideme.sys,

总之程序很烂,能用就凑合吧

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#[Debuggers]

收藏・5

点赞・0

打赏

最新回复 (18)
timer 雪币： 148 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	timer 2007-8-26 20:26 2 楼 0 你发的一定test,希望一个惊喜
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 521 粉丝 3 关注私信	hnhuqiong 10 2007-8-26 20:27 3 楼 0 放独门武器出来了：）还是起一个自己合适的名字吧，我硬盘上OD都7-8个版本了，怎么也好区分吧老大，起不来啊？？？提示C000005错误。 10002331 FF15 58C00010 call near dword ptr [1000C058] ; kernel32.LoadLibraryExA 10002337 8945 E0 mov dword ptr [ebp-20], eax 1000233A 8B4D E0 mov ecx, dword ptr [ebp-20] 1000233D 894D CC mov dword ptr [ebp-34], ecx 10002340 8B55 CC mov edx, dword ptr [ebp-34] 10002343 8B45 E0 mov eax, dword ptr [ebp-20] 10002346 0342 3C add eax, dword ptr [edx+3C] call 返回为0，直接造成2346访问异常。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 21:12 4 楼 0 重新传一次,上面的是旧的,LoadLibraryEx失败应报个错的我也不知道怎么回事,fly那里也是调用LoadLibraryEx失败, 难道只有我这能用不行只有算了,找时间把那些代码挪到ring0 DLL重新编译了一下,在19楼上传的附件： OllyDbg110 Final.part1.rar （980.00kb，226次下载） OllyDbg110 Final.part2.rar （955.70kb，397次下载）
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 21:17 5 楼 0 晕了,是不是有什么别的软件搞鬼要不是你们的SP2跟我的不一样?我很少在线升级,我这里在NIS和K8下都可以的真成了独门武器了嘿嘿上传的附件： tmd.jpg （95.79kb，820次下载）
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 2007-8-26 21:51 6 楼 0 winxp SP2 中文版 KAV6未开启 1.9.3.0 Demo 主程序测试通过 " /> 上传的附件： Ys34.jpg （97.63kb，765次下载）
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 2007-8-26 21:58 7 楼 0 fly的od很怪异我弄的插件他那也用不了
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 22:15 8 楼 0 我没有写过OD插件,这是以前写的,直接在OD引入表内加的,不是OD的问题. h老大试试直接写几行代码,瞧瞧加载ntoskrnl.exe为什么失败 HINSTANCE hKernel = LoadLibraryEx(szKernel, 0,DONT_RESOLVE_DLL_REFERENCES); 我原来的代码是这样的,参数有问题? 也许应该用LOAD_LIBRARY_AS_DATAFILE
ccfer 雪币： 8191 活跃值： (4273) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 104 关注私信	ccfer 16 2007-8-26 22:35 9 楼 0 别人的机器不一定都是ntoskrnl.exe 还可能是ntkrnlmp.exe、ntkrnlpa.exe、ntkrpamp.exe
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 7 关注私信	wynney 24 2007-8-26 22:43 10 楼 0 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 22:46 11 楼 0 由于俺拙劣的编程水平,生成文件路径的代码有bug(搞不懂为什么在我这里没事) 重新编译了一个dll, 抱歉抱歉上传的附件： HideMe.rar （41.40kb，85次下载）
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 22:48 12 楼 0 那为安全起见不要用这个,找错了内核数据更麻烦现在还是用的ntoskrnl.exe,原来的代码是在哪里抄袭的, 一时也先不看了,要知道我眼睛不好使
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2007-8-26 23:23 13 楼 0 1.9.1过不了啊
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2007-8-27 00:49 14 楼 0 测试通过后一次，下一次就没有再能运行起来汗哈哈地下OD共享的第一枪
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-27 09:06 15 楼 0 大概看了一下原来的代码,在ring3用ZwQuerySystemInformation查ntoskrnl的加载地址,然后直接用返回结果内的文件名调用LoadLibraryEx. 出错的原因可能是SystemModuleInfomation结构有差别,用了结构内ModuleNameOffset和ImageName成员,结构的定义来自<Windows NT/2000 Native API Reference>. 奇怪的是,如果这里有错,通过比较ImageName得到的加载地址也是错的,fly的机器应该运行不起来的(应该BSOD) 以前拼凑的代码问题太多,现在只能是将就用,我再另找时间把程序清理一下. 这只能是没有稳定工具可用时的代用品,如果能用OllyIce还是不要用这个,代码问题太多了, 自己玩玩好象还行,放出来大家用什么问题都来了! 另外不要运行多个实例,不要用来调试NP或rootkit那种本身就要用驱动修改内核的程序建议kanxue升级一下OllyIce,还是用那个比较安全
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-27 09:23 16 楼 0 貌似 LoadLibraryEx DONT_RESOLVE_DLL_REFERENCES 不能重载
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 2007-8-27 12:05 17 楼 0 我也来test一下.worm放的东西一定要爽一下
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-27 12:26 18 楼 0 把那几句最后改了一下,内核文件名只能是ntoskrnl.exe,别的我都没见过,不能乱搞如果再不行,就不是小修改能解决的,以后再说了,不要在W2K/2003下跑, 和我以前放过的od,没有什么anti上的增加,只是处理了一下SP2下PEB地址动态变化的问题,如果OllyIce也是因为这个,很好改的,我还是等着用OllyIce. 还是写文章比较安全上传的附件： HideMe.rar （41.44kb，83次下载）
HotMousE 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	HotMousE 2007-12-7 20:19 19 楼 0 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU 2003 sp1 双核CPU
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

softworm

发帖

1043

回帖

1210

RANK

关注

私信

他的文章

破解BestCrypt v8.20.6.2

修理一下挂马的

[原创][原创]用DEP实现BreakOnExecute

我也来扭一个

为OllyDbg增加LastBranchRecord功能

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
timer 雪币： 148 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	timer 2007-8-26 20:26 2 楼 0 你发的一定test,希望一个惊喜
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 521 粉丝 3 关注私信	hnhuqiong 10 2007-8-26 20:27 3 楼 0 放独门武器出来了：）还是起一个自己合适的名字吧，我硬盘上OD都7-8个版本了，怎么也好区分吧老大，起不来啊？？？提示C000005错误。 10002331 FF15 58C00010 call near dword ptr [1000C058] ; kernel32.LoadLibraryExA 10002337 8945 E0 mov dword ptr [ebp-20], eax 1000233A 8B4D E0 mov ecx, dword ptr [ebp-20] 1000233D 894D CC mov dword ptr [ebp-34], ecx 10002340 8B55 CC mov edx, dword ptr [ebp-34] 10002343 8B45 E0 mov eax, dword ptr [ebp-20] 10002346 0342 3C add eax, dword ptr [edx+3C] call 返回为0，直接造成2346访问异常。
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 21:12 4 楼 0 重新传一次,上面的是旧的,LoadLibraryEx失败应报个错的我也不知道怎么回事,fly那里也是调用LoadLibraryEx失败, 难道只有我这能用不行只有算了,找时间把那些代码挪到ring0 DLL重新编译了一下,在19楼上传的附件： OllyDbg110 Final.part1.rar （980.00kb，226次下载） OllyDbg110 Final.part2.rar （955.70kb，397次下载）
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 21:17 5 楼 0 晕了,是不是有什么别的软件搞鬼要不是你们的SP2跟我的不一样?我很少在线升级,我这里在NIS和K8下都可以的真成了独门武器了嘿嘿上传的附件： tmd.jpg （95.79kb，820次下载）
goodcode 雪币： 67 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 19 回帖 289 粉丝 2 关注私信	goodcode 2 2007-8-26 21:51 6 楼 0 winxp SP2 中文版 KAV6未开启 1.9.3.0 Demo 主程序测试通过 " /> 上传的附件： Ys34.jpg （97.63kb，765次下载）
okdodo 雪币： 233 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 396 粉丝 1 关注私信	okdodo 2 2007-8-26 21:58 7 楼 0 fly的od很怪异我弄的插件他那也用不了
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 22:15 8 楼 0 我没有写过OD插件,这是以前写的,直接在OD引入表内加的,不是OD的问题. h老大试试直接写几行代码,瞧瞧加载ntoskrnl.exe为什么失败 HINSTANCE hKernel = LoadLibraryEx(szKernel, 0,DONT_RESOLVE_DLL_REFERENCES); 我原来的代码是这样的,参数有问题? 也许应该用LOAD_LIBRARY_AS_DATAFILE
ccfer 雪币： 8191 活跃值： (4273) 能力值： ( LV15，RANK：2459 ) 在线值：发帖 84 回帖 1475 粉丝 104 关注私信	ccfer 16 2007-8-26 22:35 9 楼 0 别人的机器不一定都是ntoskrnl.exe 还可能是ntkrnlmp.exe、ntkrnlpa.exe、ntkrpamp.exe
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1097 粉丝 7 关注私信	wynney 24 2007-8-26 22:43 10 楼 0 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 22:46 11 楼 0 由于俺拙劣的编程水平,生成文件路径的代码有bug(搞不懂为什么在我这里没事) 重新编译了一个dll, 抱歉抱歉上传的附件： HideMe.rar （41.40kb，85次下载）
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-26 22:48 12 楼 0 那为安全起见不要用这个,找错了内核数据更麻烦现在还是用的ntoskrnl.exe,原来的代码是在哪里抄袭的, 一时也先不看了,要知道我眼睛不好使
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2007-8-26 23:23 13 楼 0 1.9.1过不了啊
卡秋莎雪币： 144 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 57 回帖 421 粉丝 0 关注私信	卡秋莎 2007-8-27 00:49 14 楼 0 测试通过后一次，下一次就没有再能运行起来汗哈哈地下OD共享的第一枪
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-27 09:06 15 楼 0 大概看了一下原来的代码,在ring3用ZwQuerySystemInformation查ntoskrnl的加载地址,然后直接用返回结果内的文件名调用LoadLibraryEx. 出错的原因可能是SystemModuleInfomation结构有差别,用了结构内ModuleNameOffset和ImageName成员,结构的定义来自<Windows NT/2000 Native API Reference>. 奇怪的是,如果这里有错,通过比较ImageName得到的加载地址也是错的,fly的机器应该运行不起来的(应该BSOD) 以前拼凑的代码问题太多,现在只能是将就用,我再另找时间把程序清理一下. 这只能是没有稳定工具可用时的代用品,如果能用OllyIce还是不要用这个,代码问题太多了, 自己玩玩好象还行,放出来大家用什么问题都来了! 另外不要运行多个实例,不要用来调试NP或rootkit那种本身就要用驱动修改内核的程序建议kanxue升级一下OllyIce,还是用那个比较安全
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-8-27 09:23 16 楼 0 貌似 LoadLibraryEx DONT_RESOLVE_DLL_REFERENCES 不能重载
baibai 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 295 粉丝 0 关注私信	baibai 2007-8-27 12:05 17 楼 0 我也来test一下.worm放的东西一定要爽一下
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-8-27 12:26 18 楼 0 把那几句最后改了一下,内核文件名只能是ntoskrnl.exe,别的我都没见过,不能乱搞如果再不行,就不是小修改能解决的,以后再说了,不要在W2K/2003下跑, 和我以前放过的od,没有什么anti上的增加,只是处理了一下SP2下PEB地址动态变化的问题,如果OllyIce也是因为这个,很好改的,我还是等着用OllyIce. 还是写文章比较安全上传的附件： HideMe.rar （41.44kb，83次下载）
HotMousE 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	HotMousE 2007-12-7 20:19 19 楼 0 LoadLibraryEx Failed GetKernelInfo Failed XP SP2 双核CPU 2003 sp1 双核CPU
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复