[求助]无法用OllyDbg加载，是新的反调试技巧吗？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]无法用OllyDbg加载，是新的反调试技巧吗？

发表于: 2009-7-7 16:29 14122

[求助]无法用OllyDbg加载，是新的反调试技巧吗？

nkspark

2009-7-7 16:29

14122

用OllyDbg调试Mit69387640Lic.dll时，OD在加载过程中自动退出无法调试。

用IDA可以看到：
.text  10001000 10005C00 R . X .
.rdata 10006000 10007800 R . . .
.data  10008000 10009A00 R W . .
.rsrc  1000A000 1000AE00 R . . .
.vmp0  1000B000 1000BA00 R . X .
.vmp1  1000C000 1000F800 R . X .
.tls 10010000 10010200 R W . .
.vmp2  10011000 100110F7 R W X . <-------
.idata 100110F7 100113E3 R W X . <-------
.vmp2  100113E3 10020200 R W X .  <-------
.reloc 10021000 10021200 R . . .

IAT被放在了.vmp2这个节里，初步推断是这个原因导致OD无法加载。

怎么才能让OD正确处理这种类型的PE头啊？

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

收藏・1

免费・0

支持

最新回复 (24)
ximo 雪币： 611 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	ximo 2 楼输出表的函数名数量-1 2009-7-7 16:35 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 3 楼高人啊，果然能加载了！啥原理啊？ 2009-7-7 17:05 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 4 楼高人啊。。。 2009-7-7 21:03 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 5 楼恩我也吃过亏 2009-7-7 21:17 0
kwzlj 雪币： 276 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 296 粉丝 0 关注私信	kwzlj 6 楼能不能说详细点啊？ 2009-7-8 08:19 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 7 楼膜拜超哥牛！ 2009-7-8 08:47 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 8 楼能不能传一个样本上来？ 2009-7-8 09:26 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 9 楼遵命！我用StrongOD试过，应该还没到它起作用就已经退了。密码：virus 上传的附件： Mit69387640Lic.zip （58.44kb，37次下载） 2009-7-8 15:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 10 楼原版OD能正常载入啊。。。有StrongOD也能载入啊。。。不截图了 2009-7-8 15:31 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 11 楼原来反调试也是看人下菜碟啊，见了高手就服服帖帖？原版OD是啥版本？我用的是看雪今年大礼包的那个，也不知道算不算。 2009-7-9 15:55 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼原版我记得看雪里面有原版，英文的实在不行去www.ollydbg.de去下载一个 http://www.ollydbg.de/odbg110.zip 2009-7-9 19:56 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 13 楼我用得就是这个啊，真是奇怪了，其他人也都加载不了，还是海风牛。 2009-7-9 23:32 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 14 楼没必要做假啊。。注意图上的OD是没有插件的原版上传的附件： 1.png （17.39kb，422次下载） 2009-7-9 23:58 0
cmdxhz 雪币： 1753 活跃值： (870) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 15 楼没搞懂~`怪事~ 我实机和虚拟机是`同一个OD~` 实机XP系统虚拟机WIN2000SERVER XP加载就退出` 虚拟机中可以正常加载~! 2009-7-10 10:14 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 16 楼我虚拟机是XP，无法加载。看来海风的虚拟机是2000？愈发神奇了。 2009-7-10 14:58 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 17 楼不是DBGHELP.DLL的原因？ 2009-7-10 16:32 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 18 楼我是真机测试的，也许是dbghelp的原因吧 2009-7-11 00:23 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 19 楼谢谢诸位，应该就是这个dbghelp.dll漏洞被vmp壳利用的反调试技巧，论坛里好多人讨论过了。等周一替换一下，看看最终结论。 1、我贴出来的推测，IAT插入到了vmp2节中，说明存在内存覆盖； 2、ximo给出的方法，加载时会导致内存偏差，覆盖当然也就偏了； 3、不同的系统可以加载，是溢出地址不同； 4、dbghelp.dll是系统文件，跟OD无关，所以用啥插件或不用插件都不解决问题。 5、海风能加载，不用说，肯定已经更新过dbghelp.dll了。 2009-7-11 13:52 0
geshaoyeli 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	geshaoyeli 20 楼正需要,我的也加载不上 2009-7-12 20:31 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 21 楼好例子，做标记 2009-7-12 21:59 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 22 楼学习。。。。 2009-7-12 23:20 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 23 楼经测试，确实是dbghelp.dll的问题，在OD执行目录下，添加此文件新版本后，可以正常加载．感谢诸位．有兴趣的朋友也可以参考： http://bbs.pediy.com/showthread.php?t=75296 http://bbs.pediy.com/showthread.php?t=75644 http://bbs.pediy.com/showthread.php?t=68813 2009-7-13 11:05 0
geshaoyeli 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	geshaoyeli 24 楼我的也成功加载,感谢!! 2009-7-16 09:50 0
lionsun 雪币： 107 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 62 粉丝 0 关注私信	lionsun 25 楼都是N人，我来学习 2009-7-16 15:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nkspark

发帖

610

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
ximo 雪币： 611 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	ximo 2 楼输出表的函数名数量-1 2009-7-7 16:35 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 3 楼高人啊，果然能加载了！啥原理啊？ 2009-7-7 17:05 0
wbflike 雪币： 1402 活跃值： (341) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 70 粉丝 1 关注私信	wbflike 4 楼高人啊。。。 2009-7-7 21:03 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 5 楼恩我也吃过亏 2009-7-7 21:17 0
kwzlj 雪币： 276 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 296 粉丝 0 关注私信	kwzlj 6 楼能不能说详细点啊？ 2009-7-8 08:19 0
frozenrain 雪币： 107 活跃值： (1683) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 7 楼膜拜超哥牛！ 2009-7-8 08:47 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 8 楼能不能传一个样本上来？ 2009-7-8 09:26 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 9 楼遵命！我用StrongOD试过，应该还没到它起作用就已经退了。密码：virus 上传的附件： Mit69387640Lic.zip （58.44kb，37次下载） 2009-7-8 15:23 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 10 楼原版OD能正常载入啊。。。有StrongOD也能载入啊。。。不截图了 2009-7-8 15:31 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 11 楼原来反调试也是看人下菜碟啊，见了高手就服服帖帖？原版OD是啥版本？我用的是看雪今年大礼包的那个，也不知道算不算。 2009-7-9 15:55 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 12 楼原版我记得看雪里面有原版，英文的实在不行去www.ollydbg.de去下载一个 http://www.ollydbg.de/odbg110.zip 2009-7-9 19:56 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 13 楼我用得就是这个啊，真是奇怪了，其他人也都加载不了，还是海风牛。 2009-7-9 23:32 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 14 楼没必要做假啊。。注意图上的OD是没有插件的原版上传的附件： 1.png （17.39kb，422次下载） 2009-7-9 23:58 0
cmdxhz 雪币： 1753 活跃值： (870) 能力值： ( LV8，RANK：120 ) 在线值：发帖 30 回帖 291 粉丝 3 关注私信	cmdxhz 1 15 楼没搞懂~`怪事~ 我实机和虚拟机是`同一个OD~` 实机XP系统虚拟机WIN2000SERVER XP加载就退出` 虚拟机中可以正常加载~! 2009-7-10 10:14 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 16 楼我虚拟机是XP，无法加载。看来海风的虚拟机是2000？愈发神奇了。 2009-7-10 14:58 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 17 楼不是DBGHELP.DLL的原因？ 2009-7-10 16:32 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 18 楼我是真机测试的，也许是dbghelp的原因吧 2009-7-11 00:23 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 19 楼谢谢诸位，应该就是这个dbghelp.dll漏洞被vmp壳利用的反调试技巧，论坛里好多人讨论过了。等周一替换一下，看看最终结论。 1、我贴出来的推测，IAT插入到了vmp2节中，说明存在内存覆盖； 2、ximo给出的方法，加载时会导致内存偏差，覆盖当然也就偏了； 3、不同的系统可以加载，是溢出地址不同； 4、dbghelp.dll是系统文件，跟OD无关，所以用啥插件或不用插件都不解决问题。 5、海风能加载，不用说，肯定已经更新过dbghelp.dll了。 2009-7-11 13:52 0
geshaoyeli 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	geshaoyeli 20 楼正需要,我的也加载不上 2009-7-12 20:31 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 21 楼好例子，做标记 2009-7-12 21:59 0
海风月影雪币： 7309 活跃值： (3788) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 22 楼学习。。。。 2009-7-12 23:20 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 23 楼经测试，确实是dbghelp.dll的问题，在OD执行目录下，添加此文件新版本后，可以正常加载．感谢诸位．有兴趣的朋友也可以参考： http://bbs.pediy.com/showthread.php?t=75296 http://bbs.pediy.com/showthread.php?t=75644 http://bbs.pediy.com/showthread.php?t=68813 2009-7-13 11:05 0
geshaoyeli 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	geshaoyeli 24 楼我的也成功加载,感谢!! 2009-7-16 09:50 0
lionsun 雪币： 107 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 62 粉丝 0 关注私信	lionsun 25 楼都是N人，我来学习 2009-7-16 15:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复