24小时热门版块排行榜

汕头大学海洋科学接受调剂

返回列表

当前主题已经存档。

sdlj8051

金虫 (著名写手)

应助: 0 (幼儿园)
贵宾: 0.1
金币: 1149.8
红花: 3
帖子: 2254
在线: 18.1小时
虫号: 71297
注册: 2005-05-30
专业: 电路与系统

[交流] [转贴]藏好自己的 OllyDbg

OllyDbg 的检测方法多如繁星，即使悉数了解并掌握破解技巧也需要耗费一定的时间。
因此可以制作一个 DLL（比如写一个插件）借助 API Hook 来完成自动隐藏工作。

这篇教程中我不打算介绍如何进行 Hook API，Google 会比我讲的详细

我们的 DLL 面临着这些问题：

1) 躲避字符串解析漏洞

某天你拿到一个程序载入运行，OllyDbg 连续三次非法后伤逝……
基本可以估计这个程序钻了这个漏洞。OllyDbg 使用了格式化字符输出调试信息，
如果调试信息里带有格式控制字符譬如“%s%s%s”，在字符输出之前就会死于非命。

利用代码：
                     @pushsz "%s%s%s%s%s"
                     call OutputDebugStringA

要避免也很简单，只要钩住这个函数过滤掉对它的调用即可。想做的锦上添花可重定向输出到一个watch窗口中。

2) GetProcessHeap 后门

自从某人从 ASProtect 早期版本得到启发，发现 M$ 的此内存初值后门，这个漏洞也（将会）有不少人用。

利用代码：
                     call GetProcessHeap
                     mov    eax, [eax+0Ch]
                     test eax, 40h
                     je    no_debugger

我很抱歉，关于原因的事情你得问微软去了，谁叫你用 Windows 呢 ;-)
解决它要彻底些，不能用 Hook ，因为不一定非通过这个函数读取 Heap，PEB 也可以。

看看 GetProcessHeap：
7C80AA49 >  64:A1 18000000  mov    eax, fs:[18]
7C80AA4F 8B40 30       mov    eax, [eax+30]
7C80AA52 8B40 18       mov    eax, [eax+18]
7C80AA55 C3             retn

剩下的不用多费唇舌了吧。

3) 卑鄙的 native API

看雪精华里 blowfish 详细介绍过 ZwSetInformationThread 等 API，最好统统 Hook。

4) MeltICE

如果你用监视器，就像 RegMon 等，需要照顾一下这里。

如果发现 CreateFileA/W 中的文件名开头是 “\\.\ ”决不能手软，截留返回0。
这些通常是要进行 MeltICE 探测的。不过有些注册程序要读取硬盘序列号也会打开类似上面的文件名，
所以还是建议你准备一份常用 MeltICE 名表，对比拦截，比较稳妥。

5) IsDebuggerPresent

这个函数你一定用过。

7C812E03 >  64:A1 18000000  mov    eax, fs:[18]
7C812E09 8B40 30       mov    eax, [eax+30]
7C812E0C 0FB640 02    movzx eax, byte ptr [eax+2]
7C812E10 C3             retn

修改掉标志就行了。

6) 进程检测

查阅一下 Process32Next 的帮助，如果发现它正探测你的调试器，把这个结构指向 Explorer 的或者直接跳到下一个。

现在可以不用把调试器改成丑陋的 eXpLoReR.eXe

7) 模块检测

看来 DBGHELP.DLL 不太受欢迎，有些程序调用 Module32Next检测到别人加载此模块就会大发雷霆……

8) UnhandledExceptionHandler

明明没有 SEH 处理程序缺能在没有调试器的时候运行，怎么也过不去怎么办？
看看 simonzh2000 《SetUnhandledExceptionFilter 的讨论》。
如果你上面处理了 native API 事实上这里不会再有问题。

9) BlockInput

最近在某个壳里看到这个函数：

                     push TRUE/FALSE
                     call BlockInput

就可以控制你的鼠标键盘是否能动了，按 Ctrl+Alt+Del 可以解，
不过谁也不想一按 F9 什么都不动了（做个绘图覆盖在调试器上面制造假死）
脑袋缺筋的可能会重启……

类似的还有 EnableWindow，不能让它肆意操作你的调试窗口。

10) 待你补充

我一时想不出更多阴招了。

[ Last edited by sdlj8051 on 2006-10-6 at 11:34 ]

回复此楼

» 猜你喜欢

271求调剂已经有35人回复
284求调剂已经有13人回复
考研求调剂已经有11人回复
各位老师好，求调剂，本科211，一志愿天津大学生物与医药学硕，差两名录取。已经有7人回复
考研调剂已经有6人回复
调剂已经有28人回复
085600材料与化工329分求调剂已经有15人回复
085600材料与化工349分求调剂已经有13人回复
291 求调剂已经有32人回复
求调剂已经有12人回复

1楼 2006-08-23 15:42:29

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

相关版块跳转我要订阅楼主 sdlj8051 的主题更新

返回列表

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 271求调剂 +31	2261744733 2026-04-11	35/1750	2026-04-13 20:24 by 学员JpLReM
[考研] 一志愿浙大生物325分求调剂 +9	zysheng 2026-04-12	9/450	2026-04-12 22:31 by yuyin1233
[考研] 一志愿西北工业大学289 085602 +33	yang婷 2026-04-10	34/1700	2026-04-12 08:11 by Art1977
[考研] 材料与化工300求调剂 +39	肖开文 2026-04-09	43/2150	2026-04-12 01:30 by 秋豆菜芽
[考研] 求调剂 +6	小聂爱学习 2026-04-11	9/450	2026-04-11 21:20 by 蓝云思雨
[考研] 农学0904 312求调剂 +3	Say Never 2026-04-11	3/150	2026-04-11 17:22 by daydayup2005
[考研] 352 求调剂 +6	yzion 2026-04-11	8/400	2026-04-11 16:24 by 明月此时有
[考研] 化学308分求调剂 +22	你好明天你好 2026-04-07	24/1200	2026-04-11 11:14 by ChemPharm
[考研] 0854调剂 +5	音像店听花鼓戏 2026-04-10	5/250	2026-04-11 10:49 by qingpingzhu
[考研] 调剂 +4	电气300求调剂不 2026-04-08	7/350	2026-04-11 10:44 by 紫曦紫棋
[考研] 生物学308求调剂（一志愿华东师大） +6	相信必会光芒万� 2026-04-10	6/300	2026-04-11 05:23 by zhuwenxu
[考研] 一志愿华南理工大学331分材料求调剂 +9	天下ww 2026-04-09	9/450	2026-04-10 22:58 by Ftglcn90
[考研] 一志愿华东师范生物学326分，求调剂 +8	刘墨墨 2026-04-09	8/400	2026-04-10 12:00 by pengliang8036
[考研] 08工学 309分求调剂 +6	Yin DY 2026-04-08	6/300	2026-04-10 09:18 by Delta2012
[考研] 材料专硕初试分332一志愿西北工业大学， +12	故人?? 2026-04-09	12/600	2026-04-09 18:34 by Ccclqqq
[考研] 085400电子信息类（川大控制工程）求调剂可跨专业求老师联系 +3	626776879 2026-04-08	3/150	2026-04-09 16:05 by 猪会飞
[考研] 349学科化学045106求调剂，化学类都可以 +8	保好懂懂 2026-04-08	8/400	2026-04-09 14:03 by xulei3024
[考研] 313求调剂 +3	十六拾陆 2026-04-07	3/150	2026-04-07 23:20 by lbsjt
[考研] 344求调剂 +11	魏子per 2026-04-07	11/550	2026-04-07 23:01 by JourneyLucky
[考研] 085100建筑学寻求跨专业调剂一志愿南大294分校级省级国家级奖项若干踏实肯干 +3	1021075758 2026-04-06	4/200	2026-04-07 09:23 by 蓝云思雨