Ollydbg逆向过程遇到的一个反调试机制

最新推荐文章于 2023-04-24 19:53:52 发布
最新推荐文章于 2023-04-24 19:53:52 发布
阅读量1k 收藏 1
点赞数
分类专栏: 逆向,反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37740119/article/details/108494797
版权

 

  这两天尝试逆向一个木马,MD5=C8102164058B27B5553924255093B643,再调试的时候遇到了一个诡异的地方。

  调试到上图红框处时,看到调用的是个系统函数,就直接F8准备跳过了。结果,和我想得不一样的是,居然程序跳到了系统函数的内部,如图位置,注意红色框内地址明显不是正常程序内部,然后我继续无脑F9,还是在系统函数内部,但是看到报了个RtlRaiseException错误。查了很多资料发现原来这是恶意样本反调试的一种机制,因为调试时ollydbg会自动接管处理这种错误,所以没法绕开。而直接执行样本时,样本自身会跳过这个错误:

  解决方案是,在ollydbg中选择选项(Options)-> 调试选项(Debugging Options) ->异常 -> 同时忽略以下指定的异常或范围 -> 添加范围(00000000-ffffffff), 然后就可以了。这样ollydbg就不会自动去处理这个错误。

然后在初始阶段那个函数的下一步下断点F2,随后F9,搞定!

Jason_Fiona
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OllyDbg(OD)使用教程
03-06
游戏外挂与外挂,游戏安全类,软件破解,软件暴力破解。。。必不可少的工具之一课程目录:01.OllyDbg的界面和配置02.常用快捷键03.爆破一个软件演示下OllyDbg的基本操作04.常用断点之INT3断点原理解析05.INT3断点的调试调试06.常用断点之硬件断点原理解析07.常用断点之内存断点原理解析08.常用断点之消息断点原理解析09.常用断点之条件断点原理解析10.内存访问一次性断点和条件记录断点11.Run trace 和 Hit trace12.调试符号13.常见插件介绍14.插件的编写
逆向工程核心原理-逆向基础(基于Ollydbg201与Hello World的逆向调试
最新发布
m0_74220316的博客
07-06 1211
我们编写的源码经过编译转化为exe可执行文件,而exe则是二进制文件,在分析二进制文件时,为了更好地理解它,我们通过调试器进行汇编处理,将二进制代码转化为汇编语言指令代码。
动态调试OllyDbg工具
xuanyitwo的博客
04-24 506
​ F7: 单步步入,功能同单步步过(F8)类似,区别是遇到call等子程序会进入其中,进入后首先会停留在子程序的第一条指令上。​ ctrl+F9: 执行到返回,此命令在执行到一个ret(返回指令)时暂停,常用语从系统部分返回到我们调试的程序部分。3.当程序运行到这个地址的时候,CPU会向OD发送异常信息,然后程序中断,等待用户操作。​ F2: 设置断点,只要在光标定位的位置按F2即可,在按一次F2键则会删除断点。​ F9: 运行,按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
【Try to Hack】OllyDbg汇编
开心星人的博客
02-21 527
OllyDbg是一款汇编工具,一个新的动态追踪工具。它将IDA与SoftICE结合起来的思想,Ring 3 级的调试器,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。
小甲鱼 OllyDbg 教程系列 (十七) : 调试
freeking101的博客
11-25 1318
小甲鱼 OD 教程:https://www.bilibili.com/video/av6889190?p=27 ReverseMe.A.B.C.D 下载地址:https://pan.baidu.com/s/1_aVUa6aDATSpE6bQgc6hLA 提取码:ebo2 [调试篇] 调试篇 - 第二十二讲 - OD使用教程22(视频+课件+试验程序)https://fishc.com....
一个OD补丁用来调试
03-16
标题提到的"一个OD补丁用来调试的"是指利用OllyDbg(OD)调试器进行逆向工程时可能会遇到的一种防御机制OllyDbg是一款著名的Windows平台下十六进制编辑器和调试器,常被逆向工程师用来分析和修改程序的行为。...
第22章-OllyDbg调试之UnhandledExceptionFilter,ZwQueryInformationProce
08-03
这两者结合,可以构建起有效的调试机制。 首先,UnhandledExceptionFilter是一个Windows API函数,它允许程序设置自定义的异常处理程序。当程序遇到未处理的异常时,如果不在调试模式下,系统会首先调用这个...
76.逆向分析之OllyDbg动态调试工具(二)INT3断点、调试、硬件断点与内存断点_网络_杨秀璋的专栏-CSDN博客1
08-03
2. 调试:为了绕过这种检测,调试者可以使用技术如EPO(Exception Handler Overwrite)或在运行时修改INT3指令为正常指令,以避开调试机制。 三. 常用断点之硬件断点原理解析 硬件断点利用CPU的硬件特性,在...
OllyDbg教程中使用的crackeme.exe程序
01-04
在这个过程中,OllyDbg一个不可或缺的工具,它是一款强大的Windows调试器,特别适用于汇编和分析二进制代码。本文将通过“crackme.exe”这个经典的练习程序,详细介绍如何使用OllyDbg进行编译和逆向工程。 ...
Ollydbg 1.1.0 终结版, 具有很强的调试能力
11-13
通常的OD调试某些具有调试能力的加壳的程序的时候,OD容易被发现,导致一打开就会退出/自动关闭.只能望程序兴叹. 类似的加壳类型, safengine licensor, themida winlicense 2.x等都是这样. 现在这个OD经过了一些修改和加强, 可以避免在调试开始阶段就被黑掉. 其中的脚本之类的插件还不是最新版的, 可以自己到网上下载最新的.dll文件, 替换掉就可以. 还有选项和外观里面的路径可能需要根据自己放文件夹的实际路径,重新设置一下. == 特别说明: 这个是调试软件, 不是脱壳机.
调试OD
06-21
调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断1
08-03
- 原理分享及序列号提取:分析验证流程,理解算法,然后实现一个外部程序来生成满足条件的输入。 三、加壳判断 加壳技术常用于保护程序免受逆向分析,通过在原程序之外包裹一层外壳,增加破解难度。识别加壳程序...
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试
weixin_30312563的博客
07-10 344
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
[小白教程]动态调试工具Ollydbg的简单使用
热门推荐
Test网络安全
09-10 1万+
本文要点 什么是OD OD的下载 OD的简单使用 实例解析 1.什么是OD Ollydbg 通常称作OD,是汇编工作的常用工具,OD附带了200脱壳脚本和各种插件,功能非常强大,可以过SE,VMP3.0,深受逆向圈内人士的喜爱 对OD的窗口签名进行了更改,使用了繁体字从而避免被针对性检测 修改了OD窗口切换快捷键为TAB键、 修改附加窗口支持滚轮滚动、 修改OD启动时为优先加载插件、 还更新了一款小插件,F11直接到程序的入口点,增加了检测蓝屏、关机、格盘等一系列调试插件 增加了ad
[系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、调试、硬件断点与内存断点
杨秀璋的专栏
02-24 6547
作者前文介绍了OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、调试、硬件断点和内存断点。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了B站yxfzedu、安全网站和参考文献中的文章,并结合自己的经验和实践进行撰写,在此感谢这些大佬们。
喜欢分享: Ollydbg 1.1.0 终结版, 具有不错的"调试" Anti-anti-ollydbg功能的调试工具
stereohomology
11-13 4176
<br /> <br />ollydbg逆向脱壳界最常用的工具了.<br /> <br />由于最新的版本ollydbg 2.0以上版本作者懒得支持插件功能, 所以用起来而不如以前流行的Ollydbg 1.1.0方便顺手.<br /> <br />因此, 很多高手用的还是Ollydbg 1.1.0, 尤其是, 高手用软件, 都喜欢进行很大程度的改造: 插件, 用户界面, 等等....<br /> <br /> <br />解密和调试的对立面, 当然是加密软件的一些解密, 调试技巧的使用了.<br /
OllyDbg调试总是进入RtlRaiseException 异常处理函数
Flyour的博客
09-16 2950
OllyDbg调试软件时,有时候会遇到一些奇怪的异常,莫名就进入了一个异常处理函数。让人很是苦恼,不能正常的进行调试。 比如我在分析cve-2010-2883 漏洞时,用Od调试Adobe reader时,就会莫名进入异常处理函数中,如下: 这种异常是很不正常的,为了证明不是漏洞文件的问题,我特意在进程正常附加的情况下,用adobe reader打开一个正常的pdf文件。 然后发现,当我在a...
"OllyDbg 快捷键使用大全:详细介绍,游戏逆向分析必看
如果当前没有调试的程序,OllyDbg会运行历史列表中的第一个程序。在程序重启后,所有内存断点和硬件断点都会被删除。需要注意的是,从实际使用效果看,硬件断点在程序重启后并没有移除。 2. Alt F2- 关闭程序,即...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值