首页
社区
课程
招聘
[讨论]新发现的两个反爆破方式
发表于: 2008-3-31 11:42 3733

[讨论]新发现的两个反爆破方式

2008-3-31 11:42
3733
Themida 壳里发现的
一个是RDTSC指令异常。正确执行后,壳会利用验算后的密匙作为CALL [变量]的启动钥匙正确呼叫系统API将CR4的TSD置位,然后再走几步就是RDTSC指令— 异常—跳转到SEH(SEH内还可以再进一步验证,看看是否是RDTSD产生的异常).如果强行爆破,则CALL [变量]可能会因为跳过算法而得不到正确的启动匙,后果你自己知道了.
      另一个则是BOUND 边界检查指令,这个比RDTSC更有战略意义和应用价值.如果说RDTSC需要系统内核操作CR4而容易被发现的话,那么BOUND则可以更加隐蔽,神不知鬼不觉的干掉调试器而不留下痕迹.比如,可以事先准备好一个ASCII字符串,如果正确执行的话,这个ASCII会按正确的长度复制出来,然后将一个验算数值以及上面的ASCII地址作为BOUND操作数来执行,正确则产生异常5(OD会有超出队列范围的记录)—SEH.如果强行爆破,则可能会因为ASCII达不到BOUND的异常要求而没有跳转到SEH里.如图

把RDTSC和BOUND指令与算法验证,检测调试器的指令捆绑到一块,做成一个集多种功能于一身的代码块,那些一向对壳喜欢轮铁锤,放爆破的破坏王们则要抓狂了.

    [招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

    上传的附件:
    收藏
    免费 0
    支持
    分享
    最新回复 (3)
    雪    币: 200
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    2
    圖片看的不完整
    無法完全看到圖片
    2008-4-1 06:47
    0
    雪    币: 50161
    活跃值: (20615)
    能力值: (RANK:350 )
    在线值:
    发帖
    回帖
    粉丝
    3
    shishaojie帖图方法不同,你这样操作,一张图会在帖子里显示两次。
    附件上传图片后,如果想把图片放到指定的位置,不要用img标签,而是用ATTACH 标签,请看方法:http://bbs.pediy.com/showpost.php?postid=292659

    另外,你制作的图片好像有个通病,就是图片后半部是空白,上个帖的帖图也是这问题。
    2008-4-1 09:45
    0
    雪    币: 200
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    4
    估计跟上网速度慢有关吧。
    2008-4-1 23:40
    0
    游客
    登录 | 注册 方可回帖
    返回
    //