[分享]检测StrongOD驱动，送xxx-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]检测StrongOD驱动，送xxx

2009-5-6 18:28 42596

[分享]检测StrongOD驱动，送xxx

海风月影

2009-5-6 18:28

42596

附件这个版本的StrongOD的驱动有个漏洞，能检测出来的在下面跟帖给代码，答对的送注册码

这个版本的buildnum比现有的高，但是未必比那个好
附件有2个key，一个是绑定硬件ID的，能patch掉，就自己用吧，另一个是试用30天的，给大家找bug的，当然，能搞定限制，也就自己用吧~~~

预祝大家玩得开心

规则：
1，任何一种有效的检测手段必须带源码，贴出来
2，手段相同，先贴的获胜
3，只限于ring3的代码
4，解释权归我所有

=========================================================

很多人说unpackcn没UB，我就在这里也发一份，顺便活跃论坛气氛，大家玩玩吧~~
每一种方法的第一名（按论坛时间，kanxue和unpackcn都是看时间，但是统一算名次），我送100UB（看雪币太少，我送不起。。Sorry）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#其他内容

上传的附件：

StrongOD_Game.rar （1.27MB，295次下载）

收藏・10

点赞・0

打赏

最新回复 (75) 1 2 3 4 ▶
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-6 18:31 2 楼 0 我占一个沙发，万一有其他东西要说明
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 2009-5-6 18:32 3 楼 0 板凳。。。看大牛表演
hmilywen 雪币： 1382 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 2009-5-6 18:39 4 楼 0 bandengle...
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 2009-5-6 18:46 5 楼 0 占个位子,看看有没有牛人做出来. 上传的附件： Game.zip （1.67MB，106次下载）
niliu 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 138 粉丝 0 关注私信	niliu 2009-5-6 18:52 6 楼 0 我只是看戲的做地板看戲
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2009-5-6 19:11 7 楼 0 从来就没下过strongOD,更没用过strongOD。送金子我都得不到。只能看戏！
xss 雪币： 471 活跃值： (3202) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 2009-5-6 19:33 8 楼 0 unpack最近打开都有问题，不知道什么问题
hxsoft 雪币： 9150 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 467 粉丝 0 关注私信	hxsoft 2009-5-6 19:40 9 楼 0 现在牛人们都希望玩游戏了！
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 2009-5-6 20:52 10 楼 0 先占个位子，期待表演
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 2009-5-6 20:59 11 楼 0 大牛的东西，我还是算了，没那实力
李美欣雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 1 关注私信	李美欣 2009-5-6 21:01 12 楼 0 反strongOD的源码不止值100UB吧？
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2009-5-6 21:31 13 楼 0 似乎以 Window 的方式还是可以找到 OllyDbg 若 StrongOD 有用驱动的话, 其 Ower PID ' TID 皆为 0 若没进驱动的话是有正确值的
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-6 22:04 14 楼 0 要代码，还有，要通杀所有StrongOD支持的操作系统查窗口不算，查到Ollydbg窗口，不代表查到了StrongOD的驱动
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 2009-5-6 22:31 15 楼 0 占楼，看一下
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2009-5-6 22:36 16 楼 0 所以即使得知 ollydbg.exe 的 PID=0 , TID=0 也不能预设是驱动弄的就是了 ?
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2009-5-6 22:43 17 楼 0 纯属个人猜测1:希望LZ不要见怪：LZ可能是想废了这个版本，让所有的壳都来anti这个版本，因为有人公开了patch hardID 的key。然后再出个新版本。纯属个人猜测2（我绝对没用过strongOD）:老版本没问题，新版本有问题，那么估计出在hook int2d上,那么我的猜测的ring3检测strongOD代码如下： xor eax,eax int 2dh inc eax cmp eax,1 jz is_stringOD
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2009-5-6 23:38 18 楼 0 检测出来了可以xxx吗？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 2009-5-7 00:15 19 楼 0 检查出来了送前台小姐
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2009-5-7 00:21 20 楼 0 17楼的2D可以干掉跟SOD无关的一大堆电脑直接送后台小姐
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 2009-5-7 08:58 21 楼 0 还有后台小姐送。
lifeiyu 雪币： 197 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	lifeiyu 2009-5-7 09:02 22 楼 0 出新版本是肯定的，我想海风的出发点不至于是兄弟猜测的那样。GAME，only a game.相当于强壳的demo，明知会被nonag，但是还是要放出。
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-7 09:19 23 楼 0 恩，是的，因为你的方法是基于检查ollydbg的，我的意思是方法必须是基于检查StrongOD.dll里面自带的那个驱动是否加载的要注意，ollydbg.ini里面可以不隐藏进程，不隐藏窗口，也不保护进程
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-7 09:28 24 楼 0 54自娱自乐的17楼
uninvited 雪币： 51 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	uninvited 2009-5-7 18:54 25 楼 0 风月是老独孤啊
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

海风月影

发帖

2308

回帖

1130

RANK

关注

私信

他的文章

[原创]KCTF2021秋第十一题图穷匕见 writeup

[原创]KCTF2021秋生命的馈赠 writeup

[原创]KCTF2021秋万事俱备 writeup

第七题声名远扬 WriteUp

[原创]KCTF2021秋季赛第二题WriteUp

关于我们

联系我们

企业服务

看雪公众号

最新回复 (75) 1 2 3 4 ▶
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-6 18:31 2 楼 0 我占一个沙发，万一有其他东西要说明
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 2009-5-6 18:32 3 楼 0 板凳。。。看大牛表演
hmilywen 雪币： 1382 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 2009-5-6 18:39 4 楼 0 bandengle...
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 2009-5-6 18:46 5 楼 0 占个位子,看看有没有牛人做出来. 上传的附件： Game.zip （1.67MB，106次下载）
niliu 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 138 粉丝 0 关注私信	niliu 2009-5-6 18:52 6 楼 0 我只是看戲的做地板看戲
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2009-5-6 19:11 7 楼 0 从来就没下过strongOD,更没用过strongOD。送金子我都得不到。只能看戏！
xss 雪币： 471 活跃值： (3202) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 2009-5-6 19:33 8 楼 0 unpack最近打开都有问题，不知道什么问题
hxsoft 雪币： 9150 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 467 粉丝 0 关注私信	hxsoft 2009-5-6 19:40 9 楼 0 现在牛人们都希望玩游戏了！
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 2009-5-6 20:52 10 楼 0 先占个位子，期待表演
xflin 雪币： 147 活跃值： (11) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	xflin 2009-5-6 20:59 11 楼 0 大牛的东西，我还是算了，没那实力
李美欣雪币： 102 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 1 关注私信	李美欣 2009-5-6 21:01 12 楼 0 反strongOD的源码不止值100UB吧？
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2009-5-6 21:31 13 楼 0 似乎以 Window 的方式还是可以找到 OllyDbg 若 StrongOD 有用驱动的话, 其 Ower PID ' TID 皆为 0 若没进驱动的话是有正确值的
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-6 22:04 14 楼 0 要代码，还有，要通杀所有StrongOD支持的操作系统查窗口不算，查到Ollydbg窗口，不代表查到了StrongOD的驱动
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 2009-5-6 22:31 15 楼 0 占楼，看一下
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2009-5-6 22:36 16 楼 0 所以即使得知 ollydbg.exe 的 PID=0 , TID=0 也不能预设是驱动弄的就是了 ?
gkend 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 325 粉丝 0 关注私信	gkend 2009-5-6 22:43 17 楼 0 纯属个人猜测1:希望LZ不要见怪：LZ可能是想废了这个版本，让所有的壳都来anti这个版本，因为有人公开了patch hardID 的key。然后再出个新版本。纯属个人猜测2（我绝对没用过strongOD）:老版本没问题，新版本有问题，那么估计出在hook int2d上,那么我的猜测的ring3检测strongOD代码如下： xor eax,eax int 2dh inc eax cmp eax,1 jz is_stringOD
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 2009-5-6 23:38 18 楼 0 检测出来了可以xxx吗？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 2009-5-7 00:15 19 楼 0 检查出来了送前台小姐
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2009-5-7 00:21 20 楼 0 17楼的2D可以干掉跟SOD无关的一大堆电脑直接送后台小姐
hymm2003 雪币： 238 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	hymm2003 2009-5-7 08:58 21 楼 0 还有后台小姐送。
lifeiyu 雪币： 197 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 34 粉丝 0 关注私信	lifeiyu 2009-5-7 09:02 22 楼 0 出新版本是肯定的，我想海风的出发点不至于是兄弟猜测的那样。GAME，only a game.相当于强壳的demo，明知会被nonag，但是还是要放出。
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-7 09:19 23 楼 0 恩，是的，因为你的方法是基于检查ollydbg的，我的意思是方法必须是基于检查StrongOD.dll里面自带的那个驱动是否加载的要注意，ollydbg.ini里面可以不隐藏进程，不隐藏窗口，也不保护进程
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 116 关注私信	海风月影 22 2009-5-7 09:28 24 楼 0 54自娱自乐的17楼
uninvited 雪币： 51 能力值： (RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	uninvited 2009-5-7 18:54 25 楼 0 风月是老独孤啊
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复