linux下动态调试od,OD 实验(二十) - 对反调试程序的逆向分析(一)

最新推荐文章于 2023-06-24 13:51:45 发布
最新推荐文章于 2023-06-24 13:51:45 发布
阅读量488 收藏
点赞数
文章标签: linux下动态调试od

程序:

44da69459186c412a3a5a5e3247fb04c.png

Keyfile.dat 里的内容

8e436420e07638c290d119b660d9d04e.png

该文件中要至少有 9 个

ReverseMe.A:

运行程序

7bfdea77ed506654cb45e757db28b155.png

用 OD 打开该程序,运行

27b3f632a435257138b7ff19b0e792b5.png

弹出的是错误的对话框

该程序发现 OD 对它的调试,所以该程序对 OD 进行反调试

重新载入程序,按 F8 往下走

8196ab6b2ec562291302da8013fface4.png

这个循环是对 Keyfile.dat 的内容进行判断的

循环过来,来到一个 call 语句

0a80bb5bc65bcdda634bcfa67cec598c.png

执行该 call 语句就会弹出那个弹窗

774cd13bb0f3e4347a1133e59a409c74.png

这个 call 指令调用的函数就在下面

9b80b4da02f421670343a03e8d84ad39.png

这个地方调用了一个 IsDebuggerPresent 函数

该函数判断程序进程是否由用户模式的调试器调试,如果当前进程在调试器中,返回值为非零值,如果当前进程不在调试器中,返回值为零

按 F8 往下走

c9bc83e80a1ec34d3b3f09beecf5bc73.png

返回值 eax 的值为 1,是非零

e7c73f0a6a2d71375767247a4c4c5e9f.png

然后执行跳转,跳到弹出是错误的对话框

Reverse.B:

运行程序

af33117e4b254349e1c43c2801fc66e9.png

用 OD 载入程序,运行

24a1769ab822a14959e349af5257aa8f.png

程序运行到该处会暂停,再运行

3681d199ce72514625b189c62687d31c.png

程序就终止了

重新载入程序,按 F8 一步一步往下走

a741569d0ab047ac670998c80740f6af.png

这里还是执行了 call 指令

46bccdb6d4a83c7b08af2524c1acbf57.png

调用 IsDebuggerPresent 函数

接着往下走

a13aefb5a50f3af67287c884685b2b2b.png

把 esp 给 401121

继续运行程序,程序就终止了

Reverse.C:

运行程序

5fe91edec41632ca2e402d3452197713.png

用 OD 载入程序,运行

2500c1d123b1a25f96a8ddc1bf48b5a3.png

程序直接终止了

重新载入程序,按 F8 往下走

4e63e81ccc7885aa0a86fd32ae995794.png

执行 call 指令之后会先用 IsDebuggerPresent 函数进行判断是否被反调试

38f96f963801bc84b2c6019c6cb086a1.png

eax 的值为 1,执行跳转,然后执行 ExitProcess 函数退出程序

Reverse.D:

运行程序

70935ceee6c656634f600826a1332dfd.png

用 OD 载入程序,运行

3e14c5e1cb102965d84d7ca4c977f887.png

重新载入程序,按 F8 往下走

15afb6e173ee09cf3fbbf0ee5e0d30b4.png

这里 eax 为 1 的话,跳转到 jmp eax 这

此时 eax 的值为 1,jmp eax 跳转到此处的话肯定会出错

ProtonPrivacy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux动态调试工具od,OllyDBG(OD动态调试工具)
weixin_35747785的博客
05-05 1776
OllyDBG是一个新的动态追踪工具,OllyDBG将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。强烈推荐!OllyDbg2.01正式版更新日志:Help on 77 pages. Please read it first - most of new features are described thereMult...
小甲鱼解密系列调试篇——OD使用教程笔记(持续更新中)
06-10 7085
一、修改内容 二、
【Shell 命令集合 文件管理】Linux 以不同的进制格式显示文件的内容 od 命令使用教程
最新发布
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-24 981
od命令是Linux系统中的一个文本工具,用于以不同的进制格式显示文件的内容。
OD工具使用-逆向TraceMe.exe
eli的博客
11-28 1628
阅览目录 名词注释 OD快捷键熟悉 逆向之猜 算法逆向 暴力破解 样本引用 回到顶部 名词注释 System breakpoint:系统断点,OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT13,在系统空间里。 Entry point of main module:主模块的入口点,即文件的入口点。 WinMain:程序的WinMain()函数入口点 OD的设置中-选项-事件中设置 回到顶部
OD常见问题
why99fun的专栏
04-16 2624
Q: OD中如何运行到光标所在处? A: 将光标移到目标位置,按F4. Q: 如何用OD修改可执行程序? A:直接在汇编代码区更改,这时可以使用汇编代码更改,然后选中修改后的汇编代码,右击-->复制到可执行文件-->保存文件. Q:OD中的代码乱码,如: 004365E0 >db 68 ; CHAR 'h' 004365E1 >db A4 004365E2 >d
通过OD调试阻止对话框弹出
huninglei3333的博客
12-14 2785
00401000 >/$ 6A 00 push 0 ; /pModule = NULL 00401002 |. E8 0D020000 call ; \GetModuleHandleA 00401007 |. A3 1C314000 mov
大神修改版OD调试,过驱动保护.zip
09-12
自带驱动级的调试插件 调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
一个OD补丁用来调试
03-16
OllyDbg是一款著名的Windows平台下十六进制编辑器和调试器,常被逆向工程师用来分析和修改程序的行为。补丁通常是一段代码或数据,用于修复软件中的错误或添加新功能,而这里的补丁则是为了防止调试器检测到并暂停...
OD调试工具 for 64 win7-C++工具类资源
09-22
总的来说,"OD调试工具 for 64 win7"是逆向工程师和安全研究人员在64位Windows系统上进行代码分析调试的重要工具,通过它的使用,可以深入了解程序的内部运作,修复错误,或者对恶意软件进行深入研究。这个资源的...
OD调试检测器,可以检测是否有效过调试
02-05
调试检测软件
调试OD
06-21
调试工具,这一款工具能过掉很多的VMP加密壳,TMD壳 解压密码:1
动态调试 OD
Re_Fw
12-03 1888
动态分析技术 OD动态分析分为用户模式和内核模式 *用户模式调试器是指用来调试用户模式应用程序调试器, *内核模式调试器是指能调试系统内核的调试器 OllyDbg 1、 ollyDbg是一款具有可视化界面的用户模式调试器,可以在各种版本的windows上运行,一般只能分析32位的可执行程序 2、 ollyDbg的cpu窗口包括五个面板窗口,分别是汇编面板,寄存器面板,信息面板,数据面板和栈面板 *汇编面板窗口的快捷键 Addres例:显示被双击行地址的相对...
第二章 动态调试技术
qq_47301716的博客
06-04 345
设断方法是在指定的代码行单击右键,执行快捷菜单中的“Breakpoint” 一 "Hardware,on execution”(“断点〞一,“硬件执行”)命令(也可以在命令行中设置“HE地址”)调试器截获后,会将异常地址与断点地址比较,如果相等就中断。UDD文件: OD的工程文件,用于保存当前调试的一些状态,例如断点、注释等,以便下次调试时继续使用。原理: 设置好断点后,运行到改地址时,CPU会向调试器发送异常,调试器捕获后中断。OD中的F4快捷键,就是用了硬件断点,用完后自动删除该断点,相当于一次性。
调试技术 linux,动态调试技术
weixin_31014835的博客
05-16 357
一、异常1. SEH2. SetUnhandledExceptionFilter()进程中发生异常,若SEH未处理或者注册的SEH不存在,此时会调用执行系统的kernel32!UnhandledExceptionFilter()API.该函数内部会运行系统的最后一个异常处理器(名为Top Level Exception Filter或Last Exception Filter).系统最后的异常处理...
linux od的作用,Linuxod命令的功能简介
weixin_30348079的博客
05-13 494
1.功能简介od(Octal Dump)命令用于将指定文件内容以八进制、十进制、十六进制、浮点格式或 ASCII 编码字符方式显示,通常用于显示或查看文件中不能直接显示在终端的字符。od 命令系统默认的显示方式是八进制。常见的文件为文本文件和二进制文件。od 命令主要用来查看保存在二进制文件中的值,按照指定格式解释文件中的数据并输出,不管是 IEEE754 格式的浮点数还是 ASCII 码,od ...
csaw2013reversing2(OD动态调试笔记)
HLi1219的博客
11-06 353
通过别人的文章,学习动态调试 PE查壳:无壳、32位 没有输入函数,再根据题目,打开就有flag,打开发现是乱码 用相应的ida打开,找的main函数F5编译 代码中mencpy_s的具体含义为(目标地址,字节数,源地址,复制的字节数)也就是把&unk_409B10里面的值给了IpMem,在sub_401000的函数中进行加密,随货就是关闭程序后显示,看了其他的文章,&unk_409B10中就是乱码的flag。使用OD动态调试 在003F1094中对应了id...
Windows下调试技术汇总
qq138480084的博客
09-15 2468
Windows下调试技术汇总 Windows下调试技术汇总一、前言二、静态调试技术2.1 进程状态检测2.2 调试环境检测三、动态调试技术3.1 时钟检测3.2 异常处理3.3 0xCC探测3.4 硬件断点检测3.5 单步检测3.6自调试四、总结 一、前言 对于安全研究人员来说,调试过程中经常会碰到调试技术,原因很简单:调试可以窥视程序的运行“秘密”,而程序作者想要通过调试手段隐藏他们的“秘密”,普通程序需要防止核心代码被调试逆向,恶意代码需要隐藏自己的恶意行为防止被跟
逆向入门(1):Linux动态调试文件
NoOneGroup
08-28 5958
众所周知,Linux下像od,x64dbg,这些方便的windows下的动态调试工具几乎没有(ps:可能我孤陋寡闻了),但百度能查到,推荐的大多数都是gdb,也就是linux下自带的调试工具,这个调试工具呢,以前一直不会用,现今,从一道静态分析得头痛还没分析出来的题目,用动态很快出来了,所以便写了这篇文章记录下如何使用gdb,我只从一道题来讲下:   这道题目是tjctf的一道题目,当时我是不...
Linux逆向---ELF动态链接
zekdot的博客
12-02 2224
ELF动态链接 静态链接通过将整个库都编译到可执行文件的方式来生成可执行文件,而动态链接则利用共享库来实现可执行文件对共享库中函数的调用,在执行时将共享库加载并绑定到该进程的地址空间中。 事前准备 由于要探究的是共享库,所以我们需要实现一个共享库文件: 首先是头文件: add.h: #ifndef ADD_H #define ADD_H int add(int a,int b); #endif ...
用Python写一段od分析程序
03-12
您可以使用Python中的pandas和numpy库来进行od分析。首先,您需要将数据加载到pandas DataFrame中,然后使用numpy库计算OD矩阵。最后,您可以使用pandas库将结果保存到文件中。以下是一个简单的示例代码: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值