通过全局变量和自擦除代码来防Dump(2)

最新推荐文章于 2021-07-06 00:16:09 发布
最新推荐文章于 2021-07-06 00:16:09 发布
阅读量136 收藏
点赞数

通过全局变量和自擦除代码来防Dump(2)

write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie

讨论新闻组及文件

通过全局变量和自擦除代码来防Dump 》中我提到了用WriteProcessMemory来完成代码段的自擦除,其实这并不是什么好的手段,因为使用了Win32 API,对于分析你代码的人来说,这是明摆着告诉对方你要干什么,破解手段在原文中也提到了不少。其实,当时我去搜寻WriteMemroy API但是并不存在的时候,我就在想,为什么微软不提供,并且,同样的,有ReadProcessMemory但是有ReadMemory,为什么要使用的时候都需要通过GetCurrentProcess()作为第一参数这样奇怪的形式,这个MS一贯的作风不符。这两个函数只在WinCE中有提供,普通Windows并没有,其实后来仔细想想就想通了,因为读写另外的进程的内存你必须要通过额外API,所以有这样的API给你来使用,但是读写自己的内存根本就不需要别的特殊的API,自己进程访问和改写自己进程中的数据是没有限制的。因此,需要做自擦除的操作仅仅需要memcpy或者memset就可以了!

下面是改进的示例:

1 #include "windows.h"
2 #include "tchar.h"
3
4 void Run()
5 {
6 // begin of the func
7 DWORD ldwBegin = 0;
8 __asm
9 {
10 call $+5
11 pop eax
12 mov ldwBegin, eax
13 }
14 DWORD ldwOldPro = 0;
15 // Must have this step
16 if(!VirtualProtect((void*)ldwBegin, 1000, PAGE_EXECUTE_READWRITE, &ldwOldPro))
17 {
18 printf( "VirtualProtectEx failed (%d)./n", GetLastError() );
19 return;
20 }
21
22 MessageBox(NULL, _T("Right"), _T("Hello World"), MB_OK);
23
24 // begin of the func
25 DWORD ldwEnd = 0;
26 __asm
27 {
28 call $+5
29 pop eax
30 mov ldwEnd, eax
31 }
32
33 DWORD ldwFuncLen = ldwEnd - ldwBegin;
34 BYTE *lpbyRand = new BYTE[ldwFuncLen];
35
36 DWORD ldwWritten = 0;
37 memcpy((void*)ldwBegin, lpbyRand, ldwFuncLen);
38
39 delete[] lpbyRand;
40 }
41
42 int main(int argc, char* argv[])
43 {
44 Run();
45 MessageBox(NULL, _T("OK"), _T("OK"), MB_OK);
46
47 return 0;
48 }
49
50

这样做后,就没有办法简单的将memcpy挂上使其无效化来使得擦除无效,而且,从发现你的目的的难度上来讲也更加大一些,毕竟memcpy这种函数使用的频率太高了,你可能因为各种原因使用它,而不仅仅是反Dump的目的。这也加大了分析的难度:)

write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie

iteye_13556
关注
硬的不行来软的,我还破解不了你?看老哥如何Dump 你的 BootRom。
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-30 175
蛮多朋友说这要是采用多层堆叠,你还能这么原始的操作?自然不行,而且这也是一篇考古的文章。但是!!!今天带来的这篇,老哥从软件采用了非侵入式的方式,实现了破解。从EL2 层层逆向最终获取到BL31的特权,再利用漏洞,最后Dum出了AMLogic A113X SoC的BootRom。之前在写安全相关的文章的时候,就曾和大家交流过,EL31作为高级特权,一旦被破解接管,会带来很大的安全风险。话不多说,开始享用吧!
BAT 大厂Java 面试题集锦之核心篇附参考答案
热门推荐
程序员光剑
11-05 1万+
核心篇数据结构与算法网路:TCP/IP,HTTP操作系统, 文件, shell, CPU, IO, epoll, 非阻塞IO,进程/线程/协程,锁HashMap, Co...
止易脱壳机 dump_e0.3b2 自动 脱易语言的程序~!
01-15
dump_e0.3b2 自动 脱易语言的程序~!
通过全局变量和自擦除代码来防Dump
webcenterol
02-08 342
通过全局变量和自擦除代码来防Dump write by 九天雁翎(JTianLing) -- blog.csdn.net/vagrxie 讨论新闻组及文件 一般而言,你的程序一旦运行起来就没有办法Dump了,因为所有的数据都在内存中了,而且,为了更好的Dump完整程序,程序将要启动,还未启动时的Dump,任你程序中有多少Dump的方法都没有用。这里只能结合两种方式来实现反Dump,其...
内存dump
XXOOYC的专栏
11-07 1157
挂起进程: kill -19 $pid 恢复执行: kill -18 $pid
android内存dump分析,[原创]梆梆加固之内存dump分析
weixin_39693971的博客
05-26 726
 声明(打字好累)本文仅限于技术讨论,不得用于非法途径,后果自负。 参考资料https://bbs.pediy.com/thread-206293.htmhttps://github.com/parkerpeng/DroidAntihttp://blog.csdn.net/cool_way/article/details/22827433http://blog.csdn.net/m...
代码自我清除 自我加密、解密的实现
dkopg24406的专栏
08-28 200
最近开发壳,但我的壳主要的安全不在题目上写的,所以就公开在delphi中实现代码自我加密解密清除的方法,高手就不用看了,很简单的。 首先我们要定义几个过程, procedure EncryptCode(Badress,size,key:cardinal);//Badress为加密起始地址,size为加密大小,key为加密密钥 var CTemp:cardinal; begin ...
Uboot代码结构详细分析
Leon的博客
07-06 5922
1. Bootloader功能分析 Bootloader(如Uboot、Redboot、Blob、vivi等)直接和CPU、外围硬件设备(存储器、网卡、LCD等)打交道,负责初始化硬件设备,以及负责拉起内核:建立内存空间映射图,为内核的启动运行做好一切准备,最后将Linux内核代码加载到RAM中运行。 一般来说,bootload都会提供两种操作模式: 正常启动模式:无需开发者和用户干涉,上电后自动开始运行,完成启动内核的任务; 下载模式(开发者模式):需要用户干预,进入下载模式,使用uboot命令
[转]JFFS2源代码情景分析Beta2
打印/传真嵌入式开发--张志龙的专栏
04-13 1万+
<br />声明<br />你可以自由地随意修改本文档的任何文字内容及图表,但是如果你在自己的文档中以任何形式直接引用了本文档的任何原有文字或图表并希望发布你的文档,那么你也得保证让所有得到你的文档的人同时享有你曾经享有过的权利。<br />JFFS2源代码情景分析(Beta2)<br />作者在www.linuxforum.net上的ID为shrek2<br />欢迎补充,欢迎批评指正!<br />前言(new) 4<br />第1章 jffs2的数据实体及其内核描述符(improved) 5<br />
2.SDL规范文档
weixin_30872337的博客
02-27 2280
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串时,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关时,可能会导致参数注入漏洞),建议如果可以禁止JVM...
加壳与脱壳知识点(持续更新)
qq_18811919的博客
01-04 1460
加壳与脱壳知识点 1.壳的种类有几种 壳分为压缩壳/加密壳/虚拟壳 (1.1压缩壳) 压缩壳调用压缩引引擎主要目的是对文件进行压缩减小文件大小 (1.2)加密壳 加密壳主要是保护软件止被各种反跟踪技术来调试程序 (1.3)虚拟壳 虚拟技术应用到壳的领域,设计了一套虚拟机引擎,将原始的汇编代码转译成虚拟机指令,要理解原始的汇编代码,就必须对其虚拟机引擎进行研究,而这极大地增加了破解和逆向的难度及成本。 2.常见的壳 (2.1)压缩壳 UPX、ASPack、PECompact (2.2)加密壳 ASProte
梆梆加固之内存dump分析
移动安全逆向研究
12-17 3833
梆专业版加固技术分析 之内存 dump 内存 dump比较 笼统 ,本篇 只介绍 使用 inotify相关 实现 (以 BB为例)。
内存Dump原理
个人博客
02-24 1万+
windows中一个可执行性程序被执行后,或者其他的数据文件,只要被影射到了某个进程的地址空间就有机会将它dump出来,这种技术到底有何用,举个例子,比如你有一个软件,并且设置了注册机制,而且用过特殊加密措施,比如用UPX,PECompact加密,但是如果在内存中将其给dump出来,所有的加密的壳都化为乌有,软件的保护也就化为乌有。 加密的文件必须解密后才能进驻内存,代码才能正常执行,所以在代码
Android 反调试反内存dump总结
parker的专栏
05-10 5455
一切都在代码中:https://github.com/parkerpeng/DroidAnti
脱壳之DUMP数据的原理以及反Dump的方法
sxr__nc的博客
01-08 1851
DUMP数据的原理 常见的Dump的软件有LoadPE、PETools等,这类工具在进行Dump数据的时候采用的主要的方式是利用Moudle32Next来获取将要Dump的进程的基本信息。Moudle32Next的原型如下: BOOL Moudle32Next (HANDLE hSnapshot,LPMODULEENTRY32 lpme) /*参数具体如下: hSnapshot:之前调用的Crea...
尽量不要使用全局变量
wuhuan_001的专栏
03-25 6677
1. 能不用全局变量尽量不用,我想除了系统状态和控制参数、通信处理和一些需要效率的模块,其他的基本可以靠合理的软件分层和编程技巧来解决。 2. 如果不可避免需要用到,那能藏多深就藏多深。 1)如果只有某.c文件用,就static到该文件中,顺便把结构体定义也收进来; 2)如果只有一个函数用,那就static到函数里面去; 3)如果非要开放出去让人读取,那就用函数return
Lua优化:破解全局变量的使用困局
UWA—简单优化,优化简单!
02-26 1028
之前,我们从C#代码的角度,为大家介绍了CPU耗时和堆内存的知识点,详见文末的知识点汇总。本期,我们将开启对本地资源检测中LuaCheck功能的解读,并结合简单的代码实例来讲解Lua检测中的具体情况,力图以浅显易懂的表达,让职场萌新或优化萌新能够深入理解。 Lua中的全局变量实现 全局变量在大多数语言中都属于“双刃剑”:全局变量可以表达程序中的全局概念,但是全局变量的使用会带来很多隐患。对于Lua这样的嵌入式语言,它是由宿主应用通过调用代码段(Chunk)来实现功能的。但“程序”概念并不明确,所以Lua
编写代码,python通过yaml.dump存储字典列表嵌套数据
最新发布
04-12
很高兴能为您解答问题!...这段代码可以将一个字典中嵌套了列表的数据,通过yaml.dump存储到一个文件中(data.yaml)。当您需要读取这个文件时,可以使用yaml.safe_load方法。 如果您有任何其他问题,欢迎随时问我!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值