对抗某反调试CM2

最新推荐文章于 2023-08-13 12:20:10 发布
最新推荐文章于 2023-08-13 12:20:10 发布
阅读量425 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014738665/article/details/84575006

【文章标题】: 全新反调试CM

【文章作者】: 半斤八两

【软件名称】: 全新的反调试第1季(无网无壳版).exe

【下载地址】: https://bbs.pediy.com/thread-187142.htm

【使用工具】: IDA、OD、资源工具

【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!

--------------------------------------------------------------------------------

【版权声明】: 本文原创于小生我怕怕, 转载请注明作者并保持文章的完整, 谢谢!

 

                                                       2018年11月07日 14:15:52

 

作者需求:

一种全新的反调试思路.

程序主要参考了 tmd和超时代 的思路.

 

 

程序运行起来后.点那个按钮,会触发 MessageBoxA  断点.

如果你能在ollydbg中断下来, 那么,你就搞掂了,如果你搞掂了,记得分离一下  :)

 

 

 

 

 

 

 

 

 

                               By 半斤八兩

                                2014.04.28

 

0、参考资料、预备知识

1、常见进程注入的实现及内存dump分析——反射式DLL注入(下)

网址:来自 <https://bbs.pediy.com/thread-224241.htm>

2、傀儡进程技术实现

网址:来自 <https://www.52pojie.cn/thread-501486-1-1.html>

3、在VC中使用自定义资源,FindResource,LoadResource,LockResource

网址:来自 <https://www.cnblogs.com/gakusei/articles/1352922.html>

4、调试器设计(2)

网站:来自 <https://bbs.pediy.com/thread-107838.htm>

 

 

1、准备工作收集信息

1、软件运行界面

2、资源工具

获取到的信息:

1、里面藏着一个PE文件

2、Dialog里面并没有按钮的选项

3、我们将PE文件导出来为123.exe

3、查看导出来的PE文件信息

1、双击运行是显示错误的

2、我们发现导出来的PE文件里面就有我们需要的按钮

 

2、IDA、OD结合分析

首先想到的是应该先下MessageBoxA、MessageBoxW(当然是没用的)

1、软件操作都是双击完按钮之后触发的,那么我们该如何定位

2、OD、IDA分析上下文

通过F5跟OD大概获取到的信息:

1、程序释放出自身的PE文件

2、sub_401BB0看参数,应该是把PE文件缓冲区跟大小传进去,然后返回个PID

3、附加进程、恢复线程

3、分析sub_401BB0函数

3、1:首先分析sub_401570函数

获取到的信息:

1、拷贝PE基本信息、区段信息

2、程序是自己实现了LoadLibrary函数

 

3、2:分析sub_401990函数

总结:

进行傀儡进程操作

1、分析sub_4018A0函数

PCHunter工具可以看到这个傀儡进程

2、分析sub_401830函数

3、后续都是傀儡进程操作了

 

4、sub_401F10函数调试框架分析

4、1:sub_401D70函数分析

我们在这两处都下断

结合上下文逻辑:

1、B程序无法直接打开

2、A程序又以附加方式打开B,那么就说明A修复了B的BUG

3、我们发现修改上下文的就只有两处,那么我们就在这两处都下断点

代码中断在下面的Context.Eax = sub_401D60(Context.Eax, DebugEvent.dwThreadId);这一句上

那么我们只要知道代码中断的IP地址即可

我们可以通过CONTEXT结构(VS按F12)往上翻

OD查看

出错代码地址:

40145B

 

5、使用CE、IDA等工具查看B进程的内存状态

发现这里面有一个CC断点,导致代码错误的

第一步先把INT改成NOP

第二步有两种选择

1、这两句NOP掉

00401468  |.  33C1          xor eax,ecx

0040146A  |.  35 76983412   xor eax,0x12349876

2、要么就学A程序多加几句汇编代码,再异或回去

00401444      33C1          xor eax,ecx

00401446      35 76983412   xor eax,0x12349876

0040144B      5F            pop edi

0040144C      C2 0400       retn 0x4

0040144F      90            nop

00401450      57            push edi

00401451  |.  BF D80E1400   mov edi,0x140ED8

00401456  |.  8B4424 08     mov eax,dword ptr ss:[esp+0x8]

0040145A    ^ EB E8         jmp short 123.00401444

0040145C      90            nop

0040145D      90            nop

0040145E      90            nop

 

6、完结撒花

揭秘AI人工智能领域异常检测的高效算法
AI智能探索者的博客
06-08 588
想象一下:银行突然收到一笔"凌晨3点在纽约和巴黎同时发生的1000万美元转账",工厂的发动机传感器数据突然飙升到正常值的10倍,这些"不寻常"的背后可能是金融欺诈、设备故障或网络攻击。异常检测的核心任务,就是用AI算法自动识别这些"不符合正常模式"的数据点。本文将聚焦AI领域最常用的无监督/半监督异常检测算法,覆盖原理、代码实现和实际应用。
新库上线 | CnOpenData中国工业企业绿色专利及引用被引用数据简介
热门推荐
CnOpenData的博客
07-30 2万+
中国工业企业绿色专利及引用被引用数据简介   改革开放以来,中国工业化迅速发展,但高增长的背后却隐藏着资源浪费、环境恶化等矛盾,在这些环境问题愈发突出的背景下,我国绿色发展新理念开始深入工业发展,近年来,此项工作已取得较好成绩:在工业和信息化部于2020年公布的我国2016-2019年工业绿色发展成绩单中,规模以上企业单位工业增加值能耗累计下降超过15%,相当于节能4.8亿吨标准煤,节约能源成本约4000亿元,同期,单位工业增加值二氧化碳排放量累计下降18%。经济效益和环境效益的双赢,是现代化工业发展的目标
r3反调试
liuhaidon1992的博客
01-08 2299
R3反调试方法非常多,且充斥着各种猥琐的方法。 1.调用API反调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
对抗反调试CM1
u014738665的博客
11-27 276
原始出处:来自 &lt;https://bbs.pediy.com/thread-100167.htm&gt; [ 破文标题 ] 对抗反调试CM [ 破解工具 ] OD、IDA [ 破解平台 ] Windows 7 [ 软件名称 ] KGM1Tal.exe [ 软件大小 ] 4.00 KB [ 软件下载 ] CM.rar [ 保护方式 ] 无壳 [ 软件简介 ] 老外写的CM ...
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
【Rainbow Network Technology co., LTD】
08-13 1167
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
傀儡进程
苞米地里捉小鸡的博客
10-13 721
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
傀儡进程技术分析
darcy_123的博客
10-13 1164
前言: 傀儡进程是将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程;常常有恶意程序将隐藏在自己文件内的恶意代码加载进目标进程,而在加载进目标进程之前,会利用ZwUnmpViewOfSection或者NtUnmapViewOfSection进行相关设置 相关技术要点 1.创建挂起进程 系统函数CreateProcessW中参数dwCreation传递CREATE_SUSP...
【AI视野·今日CV 计算机视觉论文速览 第171期】Tue, 3 Dec 2019
TomRen
12-11 3571
AI视野·今日CV 第171期 视觉论文速览 ---点云补全 ---场景补全 ---rgb和lidar融合
视频教程-逆向工程:游戏安全入门教程-漏洞挖掘与利用
weixin_28743173的博客
05-28 2136
逆向工程:游戏安全入门教程 杨闯(rkvir)天融信阿尔法实验室安全研究员。...
格斗机器人制造图纸_轮式格斗机器人的制作方法
weixin_42524864的博客
12-23 3940
本实用新型涉及机器人技术领域,特别是涉及一种轮式格斗机器人。背景技术:格斗轮式机器人是一种可以检测到车身周边物体,并根据相对位置决定闪避或攻击的机器人。传统的武术擂台小车,存在如下问题:传感器与结构件安装不紧凑,存在外部突出部分,机械结构稳定性差,上台不稳定,在擂台竞技过程中小车传感器经常受到损坏;并且,存在机械误差,在行进与转向的过程中不能精确地按照指令运行,存在较大偏差。同时,检测系统存在检测...
agp的过保护ce 直接调试游戏
09-23
agp的过保护ce 直接调试游戏 agp的过保护ce 直接调试游戏 agp的过保护ce 直接调试游戏 agp的过保护ce 直接调试游戏 agp的过保护ce 直接调试游戏
原神反调试分析
u011442768的博客
10-21 1万+
打开CE,打开原神启动器。 至此,游戏未加载驱动。启动器可以被CE正常读写。 打开原神,CE中选择YuanShen.exe,发现原神并不能被读写。 尝试分析不能读写的原因。 CE调用的读取内存函数是NtReadVirtualMemory 猜测有三种可能 1.NtReadVirtualMemory被HOOK 2.ObCallBack 3.infinityhook 第一种情况因为X64系统PatchGuard的存在排除。当然VT也是有可能的,现在先不考虑。 第二种情况是最有可能的。 第三种情况感觉不大靠谱。
无DLL,直接将整个EXE注入其他进程
El Psy Congroo
08-02 9762
注入代码的方式比较 注入shellcode 优点: 1. 简单,只需要EXE的一部分。代码可以用C\C++或汇编写 缺点: 1. 要写位置无关代码,这意味着不能直接使用全局变量、其他编译单元的函数(包括CRT的memcpy)、API等。如果要使用则要由源进程分配空间、计算API在目标进程的地址,并传到目标进程的shellcode。或者shellcode自己计算LoadLibrary和Ge...
进制转换(二进制、八进制、十进制、十六进制)
.
07-04 4411
本篇文章以 Java 代码做示范。 本文目錄進制介紹二进制转十进制八进制转十进制十六进制转十进制十进制转二进制十进制转八进制十进制转十六进制二进制转八进制二进制转十六进制八进制转二进制十六进制转二进制 進制介紹 对于整数,有四种表示方式: 二进制:0,1,满 2 进 1。以 0b 或 0B 开头 十进制:0-9,满 10 进 1 八进制:0-7,满 8 进 1。以数字 0 开头 十六进制:0-9及A(10)-F(15) 满 16 进 1。以 0x 或 0X 开头表示。此处的 A-F不区分大小写。 int
傀儡式注入
weixin_33932129的博客
12-14 637
开源poc win7 64版本https://github.com/haidragon/proce***efundwin7 32位版本https://github.com/haidragon/Inject-dll-by-Process-Doppelganging另外一种https://github.com/haidragon/Process-Hollowing 转载于:https://blog....
滴水三期:day20.1-CE基本使用与原理
Edimade的博客
04-27 3710
一、CE的简单使用(1.CE的介绍>2.CE的简单查找及修改数据>3.修改内存数据说明)>二、模拟CE扫描的功能
【学习记录】各种反调试手段总结
weixin_34192993的博客
09-30 394
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 反调试 反虚拟机 android java层 常见的Android native反调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试2、根据上面说的/proc/$pid/status中T...
反调试技术- IsDebuggerPresent,原理 与 反反调试
desword-- 技术,杂文。
07-25 6972
IsDebuggerPresent 这个函数可以用在程序中,检测当前程序是否正在被调试,从而执行退出等行为,达到反调试的作用。 1、IsDebuggerPresent 这个函数从汇编的角度看,就是一下三句代码。下面依次来分析这三句代码的原理。 75593789 K> 64:A1 18000000 mov eax, dword ptr fs:[18] 7559378F
PP保护3:HideFromDebugger
netword12345的专栏
03-04 1286
PP保护也会设置游戏线程的HideFromDebugger,不过它不是调用ZwSetInformationThread来设置,是用驱动遍历了游戏线程,直接线程的ETHREAD. 遍历线程的时候,它用到了PsLookupThreadByThreadId这个函数,所以我们要hook住这个函数,如果确定了当前是PP保护在调用这个函数,那么就把得到的线程对象的hidefromdebugger位去掉,切返回
反调试对抗技术
最新发布
06-18
### 反调试对抗技术的实现方法与原理 反调试技术的核心目标是检测和阻止调试器对程序的分析,从而保护软件免受逆向工程攻击。以下是几种常见的反调试技术及其实现原理: #### 1. 调试器检测 通过检查特定的系统状态或行为,可以判断是否正在运行调试器。例如: - **IsDebuggerPresent**:Windows API 提供了一个简单的函数 `IsDebuggerPresent` 来检测当前进程是否被调试[^1]。 - **异常处理机制**:通过触发特定异常并观察其处理方式,可以间接判断是否存在调试器。调试器通常会改变异常处理流程[^3]。 #### 2. 时间测量 利用计时器检测调试器的存在。调试器在单步执行或断点命中时会显著增加指令执行时间。可以通过以下方法实现: - **RDTSC 指令**:读取处理器的时间戳计数器(TSC),比较两次调用之间的时间差。如果时间过长,则可能有调试器介入[^3]。 - **循环计时**:使用高精度计时器测量简单代码块的执行时间,超出预期范围则触发警报[^4]。 #### 3. 内存完整性保护 通过定期检查关键内存区域的一致性,防止调试器修改内存内容。例如: - **AntiDump 配置**:通过配置文件启用内存完整性检查,如 `[AntiDump] Enable = True`,并设置检查间隔和加密密钥[^3]。 - **动态内存校验**:在运行时对重要数据结构进行哈希计算,并与预定义值对比,确保未被篡改。 #### 4. 硬件断点检测 硬件断点通常依赖于 CPU 的调试寄存器(DR0-DR7)。可以通过以下方法检测这些寄存器的状态: - **直接读取调试寄存器**:通过汇编指令访问调试寄存器,检查是否存在非法值[^3]。 - **模拟调试行为**:尝试设置硬件断点并观察其效果,与预期结果不符则表明存在调试器。 #### 5. 虚拟化逃逸 现代反调试技术还涉及虚拟化环境检测,以防止恶意用户通过虚拟机分析程序。例如: - **嵌套虚拟化检测**:通过检查 CPU 特定标志位或异常行为,判断是否运行在虚拟化环境中[^2]。 - **指令集随机化**:动态生成和执行加密的机器码,增加静态分析难度[^3]。 #### 6. HOOK 技术 HOOK 是一种拦截和修改系统调用或消息传递的技术,广泛应用于反调试领域。其实现原理包括: - **API HOOK**:通过替换目标函数的入口地址,插入自定义逻辑。例如,HOOK `NtQueryInformationProcess` 函数以隐藏调试标志[^4]。 - **Inline HOOK**:修改目标函数的前几条指令,跳转到自定义代码段,完成后恢复原始执行流[^4]。 ### 示例代码 以下是一个简单的 RDTSC 计时检测示例: ```c #include <stdio.h> #include <intrin.h> int main() { __int64 start = __rdtsc(); for (int i = 0; i < 1000000; i++); // 循环耗时操作 __int64 end = __rdtsc(); printf("Time taken: %I64d ticks\n", end - start); return 0; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值