分析一种通过修改PE实现的反调试

最新推荐文章于 2019-12-13 11:51:17 发布
最新推荐文章于 2019-12-13 11:51:17 发布
阅读量1.3k 收藏
点赞数
分类专栏: WINDOWS原理 脱壳
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hades1996/article/details/9117005
版权
本文介绍了作者在分析CrackMe 2007的一个实例中遇到的反调试策略,该策略通过修改PE文件的LoaderFlags和RvaAndSizes字段导致调试器无法正常加载。尽管LoaderFlags的修改不影响调试,但RvaAndSizes的改变确实构成了障碍。通过使用OllyDbg(OD)和C32工具,作者逐步揭示了如何定位并理解OD读取RvaAndSizes的位置,以及如何通过修改内存找到关键代码。文章最后提到,作者计划进一步研究创建自己的壳以增强逆向工程技能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

菜鸟笔记

昨天晚上又拿起CrackMe 2007的一个CrackMe来玩(aalloverred做的znycuk's cracKme#3),发现那个PE根本无法用OD加载,一加载就说这个PE的格式错误了

破文上解释说是因为LoaderFlags和RvaAndSizes(数据目录项)被修改成了一个很大的数值。其实LoaderFlags并不影响OD的调试,只是RvaAndSizes影响而已。

以后可能也想写一个壳+顺便提升逆向能力,所以分析下OD是怎么被这个反调试trick欺骗的也好。

用OD来调试OD,感觉总有点怪怪的(被调试的OD打开反调试CrackMe)

在错误的信息框下暂停,然后在堆栈中找到调用位置,定位到关键跳之后一直回溯,看不出什么东西来

然后用C32把RvaAndSizes设置为AAAA, 再加载OD在内存里面搜索AAAA就知道其应该被存放的位置了,找到之后下个硬件断点就能找到OD读取RvaAndSizes的位置了

(但是当时我用的是傻瓜办法,在前面一些位置下int 3断点,然后盯着AAAA的位置,什么时候修改了就是在哪读取的)

现在再下一个内存访问断点,定位到了以下代码:

0045C653    .  0FB795 34FAFFFF       movzx edx,word ptr ss:[ebp-5CC]
0045C65A    .  81C2 80000000         add edx,80
0045C660    .  8B8D A0F9FFFF         mov ecx,dword ptr ss:[ebp-660]
0045C666    .  C1E1 03               shl ecx,3
0045C669    .  81C1 E0000000
最低0.47元/天 解锁文章
反调试】去除各种反调试
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
PE文件结构分析(包括DOS、节表的详解+最小化压缩/修改PE文件思路实现讲解)
05-11
1. 基本:修改PE文件通常涉及改变节的大小、位置,或者替换特定节内的数据,例如修改代码以绕过反调试技术。 2. 进阶:可以调整PE信息,改变基地址避免冲突,或者修改导出和导入表以实现功能注入或恶意软件混淆。 ...
手动修改PE及反调式
qq_33526144的博客
12-13 1390
操作过程 1.运行程序,首先看到PE的开始地址(00 01倒过来为01 00),PE大小(E0) 2.
详解反调试技术
热门推荐
houjingyi的博客
10-14 3万+
反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析,当恶意代码意识到自己被调试时,它们可能改变正常的执行路径或者修改自身程序让自己崩溃,从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术,同时也会介绍一些逃避反
RVA-相对虚拟地址解释
happylife1527的专栏
10-15 1502
http://www.cnblogs.com/SkyMouse/archive/2012/05/09/2493470.html RVA是相对虚拟地址(Relative Virtual Address)的缩写,顾名思义,它是一个“相对”地址,也可以说是“偏移量”,PE文件的各种数据结构中涉及到地址的字段大部分都是以RVA表示的。 准 确地说,RVA就是当PE文件被装载到内存中后,某个数据的位置相
RVA、VA、RAW、偏移量
late0001的专栏
06-09 2824
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。 //文件偏移又称物理偏移,就是保存在磁盘里的文件。 换算关系为:
易语言-反调试模块易语言
06-29
反调试技术是为了保护软件不被逆向工程师通过调试工具分析其内部逻辑和数据结构。它通常包括以下几个方面: 1. **检测调试器**:这是反调试的基本手段,通过检查特定的内存地址、系统调用、异常处理等方式判断是否...
PE_header.rar_PE_pe文件修改
09-24
5. **隐藏或混淆**:修改PE信息来避开反病毒软件的检测,常用于恶意软件中。 6. **优化**:通过调整PE信息,优化程序的加载速度和内存占用。 然而,PE文件修改必须谨慎进行,因为错误的修改可能导致文件...
反调试手段 源码加注释
05-05
在IT安全领域,尤其是软件开发和逆向工程中,“反调试”是一种常见的技术,用于防止恶意用户或黑客通过调试工具分析程序的行为。本压缩包文件“ANTIDBG”可能包含了多种反调试策略的源码及注释,这些策略通常被应用...
PE文件格式中数据目录项中的导入表和VA-RVA-FA转换
qq_35426012的博客
11-15 1844
VA va(虚拟地址):虚拟地址是内存中的地址,每一个内存空间都有一个地址表示,这就是虚拟地址如打开OD,加载程序,里面的每一个地址都是虚拟地址,VA如下图,PE文件加载进内存的VA都是由imageBase(基址)+RVA(相对虚拟地址)形成的绝对虚拟地址VA RVA RVA(相对虚拟地址):相对虚拟地址相对的是选项里面的字段ImageBase(程序基址),PE结构中大部分字段的存的就是RVA...
RVA和RAW相互转换
GodIand的博客
09-28 2317
E.g: +---------+---------+---------+---------+---------+---------+ |  段名称   虚拟地址  虚拟大小  物理地址  物理大小   标志   | +---------+---------+---------+---------+---------+---------+ |  Name     VOffset    VSi
PE文件格式学习(九):调试表(DebugDirectory)
tutucoo
11-07 1602
微软官方参考文档:https://docs.microsoft.com/en-us/windows/desktop/debug/pe-format#debug-type
【学习记录】各种反调试手段总结
weixin_34192993的博客
09-30 383
为了躲避杀软了检测,病毒会使用各种骚气的手段来隐藏自身 反调试 反虚拟机 android java层 常见的Android native反调试方法有以下几种。 1、直接调用ptrace(PTRACE_TRACEME, 0, 0, 0),参考Android Native反调试。 2、根据上面说的/proc/$pid/status中T...
反调试跟踪的一点心得
happylife1527的专栏
10-16 1001
此贴转载于看雪:http://bbs.pediy.com/showthread.php?t=79205 本文所提到的一些方法,对于熟练的逆向调试者来说不值一提。写出来的目的只是帮助初学者解决调试中可能遇到的一些问题。这些问题以前我遇到过,当时解决起来花了不少时间。 1、  INT 3断点: 检测关键API的入口的第1个字节是否为INT 3(0xCC),是则OVER。相关代码如下: if
360加固逆向脱壳之过反调试
chen249191508的专栏
10-10 8062
写在最前,本来是想把360加固全部脱壳后,写一篇教程,以证明我是成功人士。因为我想对周围的朋友,亲戚说,学技术的,虽然钱不是很多,但一样也可以到达成功,因为成功的方式有很多种。不过在我过了360加固调试后,最后卡在了native void onCreate函数的提取。最后就无结果了,也证明了我是一个失败人士。但又发现许多人卡在了360加固的反调试,为了帮助其他人能成功(其实我没有这么伟大,只是发现
Dll注入--修改PE文件
王二娃的生活的博客
06-25 1万+
DLL注入,除了常见的远线程注入,挂钩和修改注册表以外还可以通过修改PE文件来达到注入目的,废话少说先上菜。1. 思路PE文件经常会调用外部DLL文件,而需要调用的DLL文件都会在PE文件说明,通过 NT->可选->导入表 可以找到导入表,而导入表就是对需要导入的每个DLL的说明,它实际上是一个20个字节组成的IID结构体数组,每个结构体就是一个DLL信息说明,我们只需要想PE文件中准确添加这
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 388
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
XX游戏R3层反调试 初探
把梦想放飞在蓝色的天空里...
12-24 8768
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值