分析一种通过修改PE实现的反调试

最新推荐文章于 2019-11-15 20:21:01 发布
最新推荐文章于 2019-11-15 20:21:01 发布
阅读量1.3k 收藏
点赞数
分类专栏: WINDOWS原理 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades1996/article/details/9117005
版权
本文介绍了作者在分析CrackMe 2007的一个实例中遇到的反调试策略,该策略通过修改PE文件的LoaderFlags和RvaAndSizes字段导致调试器无法正常加载。尽管LoaderFlags的修改不影响调试,但RvaAndSizes的改变确实构成了障碍。通过使用OllyDbg(OD)和C32工具,作者逐步揭示了如何定位并理解OD读取RvaAndSizes的位置,以及如何通过修改内存找到关键代码。文章最后提到,作者计划进一步研究创建自己的壳以增强逆向工程技能。
摘要由CSDN通过智能技术生成

菜鸟笔记

昨天晚上又拿起CrackMe 2007的一个CrackMe来玩(aalloverred做的znycuk's cracKme#3),发现那个PE根本无法用OD加载,一加载就说这个PE的格式错误了

破文上解释说是因为LoaderFlags和RvaAndSizes(数据目录项)被修改成了一个很大的数值。其实LoaderFlags并不影响OD的调试,只是RvaAndSizes影响而已。

以后可能也想写一个壳+顺便提升逆向能力,所以分析下OD是怎么被这个反调试trick欺骗的也好。

用OD来调试OD,感觉总有点怪怪的(被调试的OD打开反调试CrackMe)

在错误的信息框下暂停,然后在堆栈中找到调用位置,定位到关键跳之后一直回溯,看不出什么东西来

然后用C32把RvaAndSizes设置为AAAA, 再加载OD在内存里面搜索AAAA就知道其应该被存放的位置了,找到之后下个硬件断点就能找到OD读取RvaAndSizes的位置了

(但是当时我用的是傻瓜办法,在前面一些位置下int 3断点,然后盯着AAAA的位置,什么时候修改了就是在哪读取的)

现在再下一个内存访问断点,定位到了以下代码:

0045C653    .  0FB795 34FAFFFF       movzx edx,word ptr ss:[ebp-5CC]
0045C65A    .  81C2 80000000         add edx,80
0045C660    .  8B8D A0F9FFFF         mov ecx,dword ptr ss:[ebp-660]
0045C666    .  C1E1 03               shl ecx,3
0045C669    .  81C1 E0000000
最低0.47元/天 解锁文章
Hades1996
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解调试技术
houjingyi的博客
10-14 3万+
调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种调试技术可以达到调试效果。这里介绍当前常用的几种调试技术,同时也会介绍一些逃避
RVA-相对虚拟地址解释
happylife1527的专栏
10-15 1390
http://www.cnblogs.com/SkyMouse/archive/2012/05/09/2493470.html RVA是相对虚拟地址(Relative Virtual Address)的缩写,顾名思义,它是一个“相对”地址,也可以说是“偏移量”,PE文件的各种数据结构中涉及到地址的字段大部分都是以RVA表示的。 准 确地说,RVA就是当PE文件被装载到内存中后,某个数据的位置相
RVA、VA、RAW、偏移量
late0001的专栏
06-09 2655
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。 //文件偏移又称物理偏移,就是保存在磁盘里的文件。 换算关系为:
PE文件格式中数据目录项中的导入表和VA-RVA-FA转换
qq_35426012的博客
11-15 1528
VA va(虚拟地址):虚拟地址是内存中的地址,每一个内存空间都有一个地址表示,这就是虚拟地址如打开OD,加载程序,里面的每一个地址都是虚拟地址,VA如下图,PE文件加载进内存的VA都是由imageBase(基址)+RVA(相对虚拟地址)形成的绝对虚拟地址VA RVA RVA(相对虚拟地址):相对虚拟地址相对的是选项头里面的字段ImageBase(程序基址),PE结构中大部分字段的存的就是RVA...
RVA和RAW相互转换
GodIand的博客
09-28 2249
E.g: +---------+---------+---------+---------+---------+---------+ |  段名称   虚拟地址  虚拟大小  物理地址  物理大小   标志   | +---------+---------+---------+---------+---------+---------+ |  Name     VOffset    VSi
PE_header.rar_PE头_pe文件修改
09-24
5. **隐藏或混淆**:修改PE头信息来避开病毒软件的检测,常用于恶意软件中。 6. **优化**:通过调整PE头信息,优化程序的加载速度和内存占用。 然而,PE文件头的修改必须谨慎进行,因为错误的修改可能导致文件...
调试手段 源码加注释
05-05
在IT安全领域,尤其是软件开发和逆向工程中,“调试”是一种常见的技术,用于防止恶意用户或黑客通过调试工具分析程序的行为。本压缩包文件“ANTIDBG”可能包含了多种调试策略的源码及注释,这些策略通常被应用...
易语言-调试模块易语言
06-29
调试技术是为了保护软件不被逆向工程师通过调试工具分析其内部逻辑和数据结构。它通常包括以下几个方面: 1. **检测调试器**:这是调试的基本手段,通过检查特定的内存地址、系统调用、异常处理等方式判断是否...
PE文件结构分析(包括DOS头、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
1. 基本:修改PE文件通常涉及改变节的大小、位置,或者替换特定节内的数据,例如修改代码以绕过调试技术。 2. 进阶:可以调整PE头信息,改变基地址避免冲突,或者修改导出和导入表以实现功能注入或恶意软件混淆。 ...
易语言心梦软件PE修改源码
06-02
10. **软件逆向工程**:逆向工程是分析软件行为的一种方法,有时在修改PE文件前,需要通过逆向工程理解原有代码的功能和逻辑。 心梦软件的PE修改源码教程,对于想要深入理解PE文件格式、提高易语言编程技能,以及...
通过OD调试阻止对话框弹出
huninglei3333的博客
12-14 2810
00401000 >/$ 6A 00 push 0 ; /pModule = NULL 00401002 |. E8 0D020000 call ; \GetModuleHandleA 00401007 |. A3 1C314000 mov
调试跟踪的一点心得
happylife1527的专栏
10-16 968
此贴转载于看雪:http://bbs.pediy.com/showthread.php?t=79205 本文所提到的一些方法,对于熟练的逆向调试者来说不值一提。写出来的目的只是帮助初学者解决调试中可能遇到的一些问题。这些问题以前我遇到过,当时解决起来花了不少时间。 1、  INT 3断点: 检测关键API的入口的第1个字节是否为INT 3(0xCC),是则OVER。相关代码如下: if
【学习记录】各种调试手段总结
weixin_34192993的博客
09-30 344
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 调试 虚拟机 android java层 常见的Android native调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native调试。 2、根据上面说的/proc/$pid/status中T...
游戏是如何检测到有OD等调试工具的
02-10 1265
 希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//**************
PE结构取调试信息 代码
lif12345的专栏
03-04 1802
PE结构取调试信息 代码
360加固逆向脱壳之过调试
chen249191508的专栏
10-10 7871
写在最前,本来是想把360加固全部脱壳后,写一篇教程,以证明我是成功人士。因为我想对周围的朋友,亲戚说,学技术的,虽然钱不是很多,但一样也可以到达成功,因为成功的方式有很多种。不过在我过了360加固调试后,最后卡在了native void onCreate函数的提取。最后就无结果了,也证明了我是一个失败人士。但又发现许多人卡在了360加固的调试,为了帮助其他人能成功(其实我没有这么伟大,只是发现
调试主要方法简述
bilibili的博客
09-25 1172
调试的笔记
Dll注入--修改PE文件头
热门推荐
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件头来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT头->可选头->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
调试技术
weixin_33978044的博客
05-31 101
调试一些病毒程序的时候,可能会碰到一些调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图汇编啦之类的方法破解自己。为了了解如何破解调试技术,首先我们来看看调试技术。一、Windows API方法Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent可以用来检测当前进程是否...
pe结构 pdf文件
最新发布
11-10
PE结构(Portable Executable Structure)是一种Windows操作系统下的可执行文件格式,常用于存储和加载应用程序、动态链接库和驱动程序等可执行文件。而PDF(Portable Document Format)是一种跨平台的文档格式,用于显示和打印独立于软件、硬件和操作系统的文件。 PE结构和PDF文件在某些方面具有相似之处。首先,它们都是可移植的,即可以在不同的操作系统和计算机上使用。无论是PE结构的可执行文件,还是PDF文件的文档,都可以在多个平台上进行读取和执行。 其次,它们都使用了特定的文件结构。PE结构通过头部信息、代码段、数据段、导出表、导入表等部分来组织和存储可执行代码和数据。而PDF文件通过文件头、文档信息、页面内容、字体信息等部分来保存和展示文档的内容。 最后,它们都支持一定程度的可编辑性。PE结构可以通过调试器、汇编等工具进行调试修改,以实现特定的功能需求。PDF文件可以使用编辑工具对文本、图片等元素进行修改和更新。 然而,PE结构和PDF文件也有一些明显的差异。首先,PE结构主要用于存储可执行代码和数据,而PDF文件主要用于存储文档内容。其次,PE结构具有更强的可执行性,可以在系统级别上执行代码,而PDF文件主要用于显示和打印文档,不具备直接执行代码的功能。 总之,PE结构和PDF文件是两种不同的文件格式,分别用于存储和加载可执行代码和数据,以及显示和打印文档内容。它们在某些方面具有相似之处,但也有一些明显的差异。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值