[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?

发表于: 2009-4-7 06:25 48433

[求助]风月的 StrongOD 的 Anti Anti_Attach 是怎么实现的?

PEBOSS

2009-4-7 06:25

48433

查看主题内容

收藏・13

免费・0

支持

最新回复 (125) ◀ 1 2 3 4 5 6 ▶
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 26 楼 DebugActiveProcess 最后调用这里 7C970082 > 8BFF mov edi, edi 7C970084 /. 55 push ebp 7C970085 \|. 8BEC mov ebp, esp 7C970087 \|. 56 push esi 7C970088 \|. 64:A1 1800000>mov eax, dword ptr fs:[18] 7C97008E \|. FFB0 240F0000 push dword ptr [eax+F24] 7C970094 \|. FF75 08 push dword ptr [ebp+8] 7C970097 \|. E8 34D1FBFF call ZwDebugActiveProcess 7C97009C \|. 8BF0 mov esi, eax 7C97009E \|. 85F6 test esi, esi 7C9700A0 \|. 7C 16 jl short 7C9700B8 7C9700A2 \|. FF75 08 push dword ptr [ebp+8] 7C9700A5 \|. E8 97FFFFFF call DbgUiIssueRemoteBreakin ; 这一个 7C9700AA \|. 8BF0 mov esi, eax 7C9700AC \|. 85F6 test esi, esi 7C9700AE \|. 7D 08 jge short 7C9700B8 7C9700B0 \|. FF75 08 push dword ptr [ebp+8] 7C9700B3 \|. E8 09FFFFFF call DbgUiStopDebugging 7C9700B8 \|> 8BC6 mov eax, esi 7C9700BA \|. 5E pop esi 7C9700BB \|. 5D pop ebp 7C9700BC \. C2 0400 retn 4 看看这里是创建一个远线程在对方进程执行CC断下 7C970041 >/$ 8BFF mov edi, edi 7C970043 \|. 55 push ebp 7C970044 \|. 8BEC mov ebp, esp 7C970046 \|. 51 push ecx 7C970047 \|. 51 push ecx 7C970048 \|. 56 push esi 7C970049 \|. 57 push edi 7C97004A \|. 8D45 F8 lea eax, dword ptr [ebp-8] 7C97004D \|. 50 push eax 7C97004E \|. 33F6 xor esi, esi 7C970050 \|. 8D45 08 lea eax, dword ptr [ebp+8] 7C970053 \|. 50 push eax 7C970054 \|. 56 push esi 7C970055 \|. 68 E3FF967C push DbgUiRemoteBreakin ; 替换掉这里就行了 7C97005A \|. 56 push esi 7C97005B \|. 56 push esi 7C97005C \|. 56 push esi 7C97005D \|. 56 push esi 7C97005E \|. 56 push esi 7C97005F \|. FF75 08 push dword ptr [ebp+8] 7C970062 \|. E8 03DFFDFF call RtlCreateUserThread 7C970067 \|. 8BF8 mov edi, eax 7C970069 \|. 3BFE cmp edi, esi 7C97006B \|. 7C 08 jl short 7C970075 7C97006D \|. FF75 08 push dword ptr [ebp+8] ; /Handle 7C970070 \|. E8 5BCFFBFF call ZwClose ; \ZwClose 7C970075 \|> 8BC7 mov eax, edi 7C970077 \|. 5F pop edi 7C970078 \|. 5E pop esi 7C970079 \|. C9 leave 7C97007A \. C2 0400 retn 4 目标进程破坏 DbgUiRemoteBreakin 这个函数就不能正常附加如果对方在这个函数里调用exit 就会退出进程 anti anti 就是替换掉这个函数具体怎么写自己去实现最简单的直接不执行这里附加成功后暂停一次就OK了 7C970055 \|. 68 E3FF967C push DbgUiRemoteBreakin 2009-4-7 16:31 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 27 楼 LS的方法思路不错不过还是可以anti，呵呵 2009-4-7 17:50 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 28 楼风月大大是航天人才啊？ 2009-4-7 18:05 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 29 楼海风定力够好，坚持到辩论双方亮出底牌才出手我也是一直下一页下一页一直等到海风出现（有点跟屁虫的味道） 2009-4-7 18:50 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 30 楼风月教主出手了 2009-4-7 18:52 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 31 楼风月的方法才是王道 2009-4-7 19:20 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 32 楼我工作太忙了，哪有空时时盯论坛啊 2009-4-7 19:55 0
郭红刚雪币： 208 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	郭红刚 33 楼看来几位大大的辩论。我感觉我还是得潜水，等我成牛了。我在调侃菜鸟吧。 2009-4-8 00:52 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 34 楼风总再多招几个小弟吧 2009-4-8 08:40 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 35 楼去趟火星就像回家一样 2009-4-8 09:25 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 36 楼每次回家我都要膜拜一下上面两位偶像 2009-4-8 09:28 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 37 楼原来好多火星人 2009-4-8 12:28 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 38 楼确实牛掰，说话都不一样～不过我也想知道如何做到的呵呵 CreateRemoteThread以及之前的WriteProcessMemory貌似都需要 process handle了而如何不用OpenProcess得到handle了。俺都还不懂楼主教教我吧。我们共同进步 2009-4-8 13:35 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 39 楼 Ring3下使用Duplicate可以得到。。 2009-4-8 15:23 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 40 楼楼上的都是我的偶像。这类问题的原理也困惑着我。NOOBY的回帖对我有启发，回去再慢慢理解一下。 2009-4-9 08:28 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 41 楼俄罗斯网站有介绍anti-attach的文章，有几种方法，strongOD里 anti anti-attach就是针对这些做出来的，这些技术怎么在中国网上就这么难找 2009-5-8 10:21 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 42 楼 http://nezumi-lab.org/给个地址自己去看，是英文的 2009-5-8 10:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 43 楼 [QUOTE=圣新冰心;619650]http://nezumi-lab.org/给个地址自己去看，是英文的[/QUOTE] 看一下帖子，老外是09年2月14号发布的方法再看一下我StrongOD的更新记录 [2008.08.10 v0.15] 1，增强查找模块功能（能正确查找处理过peb的模块，比如ring3的隐藏模块） 2，增强OD对文件Pe头的分析（如Upack壳等） 3，anti anti attach （一种极端的方式） 4，脱离目标程序不再调试（DebugActiveProcessStop）功能，xp系统以上 5，注入dll到被调试的进程 a) Remote Thread（使用CreateRemoteThread注入） b) Current Thread（shellcode，不增加线程方式注入，当前线程必须暂停） 08年8月10日的版本已经过了他所有的tricks，他的tricks不够猥琐，还没我在某个论坛N年前贴的代码管用 2009-5-8 10:45 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 44 楼你们会觉得我在忽悠，还是放个链接吧，好在现在还能找到，注意看日期 http://bbs.chinapyg.com/viewthread.php?tid=15335&page=1#pid104913 后来的ttp也是这个trick，我觉得比老外的那些管用多了 2009-5-8 10:54 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 45 楼支持，你说得有理，你的插件很管用。提高破解过程效率。拜读 2009-5-8 11:08 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 46 楼 attach是绝对的,anti-attach是相对的，因为attach是win操作系统提供的标准功能，你在ring3上怎么anti-attach都是假的，因为很难绕过操作系统。除非在ring0上anti-attach还可能有点效果。 2009-5-8 11:40 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 47 楼你懂个毛阿?又出来扯淡了 2009-5-8 11:47 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 48 楼你写几个有效的方法来给大家学习学习 2009-5-8 11:48 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 49 楼反对吵架，支持nooby 2009-5-8 11:50 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 50 楼是你懂个毛？你出个anti-attach来。我来anti-anti. 你连wl用什么注册算法都不懂，还有资格说话？你以为你会vmp破解有什么了不起？ 2009-5-8 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

PEBOSS

144

发帖

856

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (125) ◀ 1 2 3 4 5 6 ▶
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 26 楼 DebugActiveProcess 最后调用这里 7C970082 > 8BFF mov edi, edi 7C970084 /. 55 push ebp 7C970085 \|. 8BEC mov ebp, esp 7C970087 \|. 56 push esi 7C970088 \|. 64:A1 1800000>mov eax, dword ptr fs:[18] 7C97008E \|. FFB0 240F0000 push dword ptr [eax+F24] 7C970094 \|. FF75 08 push dword ptr [ebp+8] 7C970097 \|. E8 34D1FBFF call ZwDebugActiveProcess 7C97009C \|. 8BF0 mov esi, eax 7C97009E \|. 85F6 test esi, esi 7C9700A0 \|. 7C 16 jl short 7C9700B8 7C9700A2 \|. FF75 08 push dword ptr [ebp+8] 7C9700A5 \|. E8 97FFFFFF call DbgUiIssueRemoteBreakin ; 这一个 7C9700AA \|. 8BF0 mov esi, eax 7C9700AC \|. 85F6 test esi, esi 7C9700AE \|. 7D 08 jge short 7C9700B8 7C9700B0 \|. FF75 08 push dword ptr [ebp+8] 7C9700B3 \|. E8 09FFFFFF call DbgUiStopDebugging 7C9700B8 \|> 8BC6 mov eax, esi 7C9700BA \|. 5E pop esi 7C9700BB \|. 5D pop ebp 7C9700BC \. C2 0400 retn 4 看看这里是创建一个远线程在对方进程执行CC断下 7C970041 >/$ 8BFF mov edi, edi 7C970043 \|. 55 push ebp 7C970044 \|. 8BEC mov ebp, esp 7C970046 \|. 51 push ecx 7C970047 \|. 51 push ecx 7C970048 \|. 56 push esi 7C970049 \|. 57 push edi 7C97004A \|. 8D45 F8 lea eax, dword ptr [ebp-8] 7C97004D \|. 50 push eax 7C97004E \|. 33F6 xor esi, esi 7C970050 \|. 8D45 08 lea eax, dword ptr [ebp+8] 7C970053 \|. 50 push eax 7C970054 \|. 56 push esi 7C970055 \|. 68 E3FF967C push DbgUiRemoteBreakin ; 替换掉这里就行了 7C97005A \|. 56 push esi 7C97005B \|. 56 push esi 7C97005C \|. 56 push esi 7C97005D \|. 56 push esi 7C97005E \|. 56 push esi 7C97005F \|. FF75 08 push dword ptr [ebp+8] 7C970062 \|. E8 03DFFDFF call RtlCreateUserThread 7C970067 \|. 8BF8 mov edi, eax 7C970069 \|. 3BFE cmp edi, esi 7C97006B \|. 7C 08 jl short 7C970075 7C97006D \|. FF75 08 push dword ptr [ebp+8] ; /Handle 7C970070 \|. E8 5BCFFBFF call ZwClose ; \ZwClose 7C970075 \|> 8BC7 mov eax, edi 7C970077 \|. 5F pop edi 7C970078 \|. 5E pop esi 7C970079 \|. C9 leave 7C97007A \. C2 0400 retn 4 目标进程破坏 DbgUiRemoteBreakin 这个函数就不能正常附加如果对方在这个函数里调用exit 就会退出进程 anti anti 就是替换掉这个函数具体怎么写自己去实现最简单的直接不执行这里附加成功后暂停一次就OK了 7C970055 \|. 68 E3FF967C push DbgUiRemoteBreakin 2009-4-7 16:31 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 27 楼 LS的方法思路不错不过还是可以anti，呵呵 2009-4-7 17:50 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 28 楼风月大大是航天人才啊？ 2009-4-7 18:05 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 29 楼海风定力够好，坚持到辩论双方亮出底牌才出手我也是一直下一页下一页一直等到海风出现（有点跟屁虫的味道） 2009-4-7 18:50 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 30 楼风月教主出手了 2009-4-7 18:52 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 31 楼风月的方法才是王道 2009-4-7 19:20 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 32 楼我工作太忙了，哪有空时时盯论坛啊 2009-4-7 19:55 0
郭红刚雪币： 208 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	郭红刚 33 楼看来几位大大的辩论。我感觉我还是得潜水，等我成牛了。我在调侃菜鸟吧。 2009-4-8 00:52 0
太虚伪了雪币： 263 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 316 粉丝 0 关注私信	太虚伪了 1 34 楼风总再多招几个小弟吧 2009-4-8 08:40 0
ccfer 雪币： 8209 活跃值： (4518) 能力值： ( LV15，RANK：2473 ) 在线值：发帖 84 回帖 1529 粉丝 106 关注私信	ccfer 16 35 楼去趟火星就像回家一样 2009-4-8 09:25 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 36 楼每次回家我都要膜拜一下上面两位偶像 2009-4-8 09:28 0
达文西雪币： 1632 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 1328 粉丝 0 关注私信	达文西 37 楼原来好多火星人 2009-4-8 12:28 0
evilight 雪币： 235 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 161 粉丝 0 关注私信	evilight 1 38 楼确实牛掰，说话都不一样～不过我也想知道如何做到的呵呵 CreateRemoteThread以及之前的WriteProcessMemory貌似都需要 process handle了而如何不用OpenProcess得到handle了。俺都还不懂楼主教教我吧。我们共同进步 2009-4-8 13:35 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 39 楼 Ring3下使用Duplicate可以得到。。 2009-4-8 15:23 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 40 楼楼上的都是我的偶像。这类问题的原理也困惑着我。NOOBY的回帖对我有启发，回去再慢慢理解一下。 2009-4-9 08:28 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 41 楼俄罗斯网站有介绍anti-attach的文章，有几种方法，strongOD里 anti anti-attach就是针对这些做出来的，这些技术怎么在中国网上就这么难找 2009-5-8 10:21 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 42 楼 http://nezumi-lab.org/给个地址自己去看，是英文的 2009-5-8 10:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 43 楼 [QUOTE=圣新冰心;619650]http://nezumi-lab.org/给个地址自己去看，是英文的[/QUOTE] 看一下帖子，老外是09年2月14号发布的方法再看一下我StrongOD的更新记录 [2008.08.10 v0.15] 1，增强查找模块功能（能正确查找处理过peb的模块，比如ring3的隐藏模块） 2，增强OD对文件Pe头的分析（如Upack壳等） 3，anti anti attach （一种极端的方式） 4，脱离目标程序不再调试（DebugActiveProcessStop）功能，xp系统以上 5，注入dll到被调试的进程 a) Remote Thread（使用CreateRemoteThread注入） b) Current Thread（shellcode，不增加线程方式注入，当前线程必须暂停） 08年8月10日的版本已经过了他所有的tricks，他的tricks不够猥琐，还没我在某个论坛N年前贴的代码管用 2009-5-8 10:45 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 44 楼你们会觉得我在忽悠，还是放个链接吧，好在现在还能找到，注意看日期 http://bbs.chinapyg.com/viewthread.php?tid=15335&page=1#pid104913 后来的ttp也是这个trick，我觉得比老外的那些管用多了 2009-5-8 10:54 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 45 楼支持，你说得有理，你的插件很管用。提高破解过程效率。拜读 2009-5-8 11:08 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 46 楼 attach是绝对的,anti-attach是相对的，因为attach是win操作系统提供的标准功能，你在ring3上怎么anti-attach都是假的，因为很难绕过操作系统。除非在ring0上anti-attach还可能有点效果。 2009-5-8 11:40 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 47 楼你懂个毛阿?又出来扯淡了 2009-5-8 11:47 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 48 楼你写几个有效的方法来给大家学习学习 2009-5-8 11:48 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 49 楼反对吵架，支持nooby 2009-5-8 11:50 0
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 50 楼是你懂个毛？你出个anti-attach来。我来anti-anti. 你连wl用什么注册算法都不懂，还有资格说话？你以为你会vmp破解有什么了不起？ 2009-5-8 12:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复