OD插件怎么弄 以及 OllySSEH原理

最新推荐文章于 2020-11-24 21:29:00 发布
最新推荐文章于 2020-11-24 21:29:00 发布
阅读量2k 收藏 1
点赞数
分类专栏: 软件逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zcc1414/article/details/20571435
版权
这篇笔记介绍了如何处理OD(OllyDbg)插件OllySSEH,主要涉及将原DLL版本转换为控制台源码的过程,需要的文件包括ollydbgvc7.lib和Plugin.h,编译环境推荐使用VC6.0。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

只是笔记而已························大神们直接不要看了

需要文件  : ollydbgvc7.lib   Plugin.h

编译环境  VC6.0即可

#include <windows.h> 
#include "Plugin.h" 
#pragma comment(lib,"ollydbgvc7.lib")

static char g_szPluginName[] = "Hello,world Panda! "; 
static HWND g_hWndMain = NULL; 
static HINSTANCE g_hModule = NULL; 
static char g_szHelloClass[32]; 

static HWND CreateHelloWindow(void); 
LRESULT CALLBACK HelloWndProc( 
							  HWND hWnd, 
							  UINT msg, 
							  WPARAM wParam, 
							  LPARAM lParam); 

BOOL APIENTRY DllMain( 
					  HINSTANCE hModule, 
					  DWORD reason, 
					  LPVOID lpReserved) 
{ 
	if (DLL_PROCESS_ATTACH == reason) 
	{ 
		g_hModule = hModule; 
	} 
	return TRUE; 
} 
extc int _export cdecl ODBG_Plugindata( 
									   char shortname[32]) 
{ 
	strcpy(shortname, g_szPluginName); 
	return PLUGIN_VERSION; 
} 

extc int _export cdecl ODBG_Plugininit( 
									   int ollydbgversion, 
									   HWND hw, 
									   ulong * features) 
{ 
	int nRetCode; 
	
	if(ollydbgversion < PLUGIN_VERSION) 
		return -1; 
	
	g_hWndMain = hw; 
	
	nRetCode = Registerpluginclass( 
		g_szHelloClass, 
		NULL, 
		g_hModule, 
		HelloWndProc); 
	if(nRetCode < 0) 
		return -1; 
	
	Addtolist(0,0,"Hello,World! v1.0"); 
	Addtolist(0,-1," Copyright (C) 2010 Claud"); 
	return 0; 
} 

extc int _export cdecl ODBG_Pluginmenu( 
									   int origin, 
									   char data[4096], 
									   void *item) 
{ 
	if(PM_MAIN == origin) 
	{ 
		strcpy(data,"0 Hello | 1 About"); 
		return 1; 
	} 
	return 0; 
} 

extc void _export cdecl ODBG_Pluginaction( 
										  int origin, 
										  int action, 
										  void *item) 
{ 
	if(PM_MAIN == origin) 
		switch(action) 
	{ 
 case 0: 
	 CreateHelloWindow(); 
	 break; 
 case 1: 
	 MessageBox( 
		 g_hWndMain, 
		 "Writen by Panda", 
		 g_szPluginName, 
		 MB_OK); 
	 break; 
	} 
} 

extc void _export cdecl ODBG_Plugindestroy(void) 
{ 
	Unregisterpluginclass(g_szHelloClass); 
} 

LRESULT CALLBACK HelloWndProc( 
							  HWND hWnd, 
							  UINT msg, 
							  WPARAM wParam, 
							  LPARAM lParam) 
{ 
	RECT rc; 
	PAINTSTRUCT ps; 
	HBRUSH hbr; 
	HDC dc; 
	switch(msg) 
	{ 
	case WM_PAINT: 
		dc=BeginPaint(hWnd,&ps); 
		GetClientRect(hWnd,&rc); 
		hbr=CreateSolidBrush(GetSysColor(COLOR_BTNFACE)); 
		FillRect(dc,&rc,hbr); 
		TextOut(dc,100,60, // new line 
			"Hello,world!",strlen("Hello,world!")); 
		DeleteObject(hbr); 
		EndPaint(hWnd,&ps); 
		break; 
	default: 
		return DefWindowProc(hWnd,msg,wParam,lParam); 
	} 
	return 0; 
} 

static HWND CreateHelloWindow(void) 
{ 
	HWND hw; 
	hw = CreateWindow( 
		g_szHelloClass, 
		"Message", 
		WS_OVERLAPPED | WS_CAPTION | WS_SYSMENU, 
		400,400,300,200, 
		NULL, 
		NULL, 
		(HINSTANCE)Plugingetvalue(VAL_HINST), 
		NULL); 
	ShowWindow(hw,SW_SHOWNORMAL); 
	UpdateWindow(hw); 
	return hw; 
}


              



下面分析一下   OllySSEH   OD插件 原版本为 DLL

将源码变为控制台源码

#include "stdafx.h"
#include <Windows.h>
#include <Tlhelp32.h>

#define IS_CONTAINED(p1,s1,p2,s2)( ( (LPBYTE)(p1) >= (p2) ) && ( (LPBYTE)(p1) +  (s1) ) <= ( (LPBYTE) (p2) + (s2) ) )

#define PluginError -3
#define NOSEH -2
#define ERROR_READING_SEH -1
#define SAFESEH_OFF 0
#define SAFESEH_ON 1


int CheckSafeSEH(LPMODULEENTRY32 lpmoduleentry32)
{
	LPBYTE    lpHead;	
	int       retval = SAFESEH_OFF; //一开始返回没开启 SAFESEH
	DWORD	  i;	

	// Check bounds .. 

	if ( !(lpmoduleentry32->dwSize > sizeof (IMAGE_DOS_HEADER)) ||
		!(lpHead = (LPBYTE)malloc(lpmoduleentry32->dwSize)) )
	{
		return ERROR_READING_SEH;
	}

	// Read Module Headers 

	if ( ReadProcessMemory(OpenProcess(PROCESS_VM_READ ,NULL,lpmoduleentry32->th32ProcessID),lpmoduleentry32->modBaseAddr,lpHead,lpmoduleentry32->dwSize,NULL))
	//ReadM(lpHead, module->base, lpmoduleentry32->dwSize, MM_RESTORE | MM_SILENT ) )
	{
		PIMAGE_DOS_HEADER              lpDOSh;
		PIMAGE_NT_HEADERS              lpNTh;
		PIMAGE_DATA_DIRECTORY          lpDD;
		PIMAGE_LOAD_CONFIG_DIRECTORY32 lpLCD;
		DWORD						   *lpHTable;

		// Get NT header 
		lpDOSh = (PIMAGE_DOS_HEADER) lpHead;
		lpNTh  = (PIMAGE_NT_HEADERS) ( (LPBYTE)(lpDOSh) + lpDOSh->e_lfanew );

		if  (!IS_CONTAINED(lpNTh,sizeof(IMAGE_NT_HEADERS),lpHead,lpmoduleentry32->dwSize) )
		{
			free(lpHead);
			return ERROR_READING_SEH;
		}
		
		// Check DllCharacteristics, is SEH enabled for this image?
		if ( lpNTh->OptionalHeader.DllCharacteristics & IMAGE_DLLCHARACTERISTICS_NO_SEH )
		{
			free(lpHead);
			return NOSEH;
		}

		// Get Data directory 
		lpDD   = (PIMAGE_DATA_DIRECTORY) &lpNTh->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_LOAD_CONFIG];

		// Check bounds ..
		if (!IS_CONTAINED(lpDD,sizeof(IMAGE_DATA_DIRECTORY),lpHead,lpmoduleentry32->dwSize) )
		{
			free(lpHead);
			return ERROR_READING_SEH;
		}
		
		// Allocate memory for Load Config Directory
		if (! ( lpLCD = (PIMAGE_LOAD_CONFIG_DIRECTORY32 )malloc(sizeof(IMAGE_LOAD_CONFIG_DIRECTORY)) ) )
		{
			//PluginError();
			return PluginError;
		}

		// Read Load Config Directory 
			if (lpDD->VirtualAddress)
			{
				if (ReadProcessMemory(OpenProcess(PROCESS_VM_READ ,NULL,lpmoduleentry32->th32ProcessID),lpmoduleentry32->modBaseAddr + lpDD->VirtualAddress,lpLCD,sizeof(IMAGE_LOAD_CONFIG_DIRECTORY),NULL))
					//Readmemory (lpLCD,module->base + lpDD->VirtualAddress,sizeof(IMAGE_LOAD_CONFIG_DIRECTORY), MM_RESTORE | MM_SILENT )  )
				{			

					// Do we have a SEH handler table? ;-)
					if ( lpLCD->SEHandlerTable	)
					{
						// Allocate memory for SEHandler Table
						if (! (lpHTable = (DWORD *) malloc( lpLCD->SEHandlerCount * sizeof(DWORD) ) ) )
						{
							free(lpLCD);
							return PluginError;
						}								

						// Read SEHandler Table
						if ( !ReadProcessMemory(OpenProcess(PROCESS_VM_READ ,NULL,lpmoduleentry32->th32ProcessID),(DWORD*)(lpLCD->SEHandlerTable),lpHTable,lpLCD->SEHandlerCount * sizeof(DWORD),NULL))
							//Readmemory (lpHTable,lpLCD->SEHandlerTable,lpLCD->SEHandlerCount * sizeof(DWORD), MM_RESTORE | MM_SILENT ) )
						{	
							free(lpHTable);
							free(lpLCD);
							return ERROR_READING_SEH;
						}

						// Free memory and return success
						retval = SAFESEH_ON;
					}
				}
		}
		free(lpHead);
		free(lpLCD);
	}

	else
	{
		free(lpHead);
		retval = ERROR_READING_SEH;
	}

	return retval;
}

int _tmain(int argc, _TCHAR* argv[])
{
	HANDLE handle = CreateToolhelp32Snapshot(TH32CS_SNAPMODULE,12172);//指定PID就可以扫描运行中的程序的SAFESEH开启情况
	MODULEENTRY32 moduleentry32 = {sizeof(MODULEENTRY32)};

	Module32First(handle,&moduleentry32);
	do 
	{
		if (moduleentry32.modBaseAddr)
		{	
			int flag = CheckSafeSEH(&moduleentry32);
			switch (flag)
			{
			case SAFESEH_ON:
				printf("%ws SAFESEH_ON\n",moduleentry32.szModule);
				break;
			case SAFESEH_OFF:
				printf("%ws SAFESEH_OFF\n",moduleentry32.szModule);
				break;
			case PluginError:
				printf("%ws PluginError\n",moduleentry32.szModule);
				break;
			case NOSEH:
				printf("%ws NOSEH\n",moduleentry32.szModule);
				break;
			case ERROR_READING_SEH:
				printf("%ws ERROR_READING_SEH\n",moduleentry32.szModule);
				break;		
			}
		}
	} while (Module32Next(handle,&moduleentry32));
	return 0;
}

















下面分析一下   OllySSEH   OD插件
SafeSEH原理与对抗
whatday的专栏
10-09 6274
SafeSEH原理 在 Windows XP sp2 以及之后的版本中,微软引入了 S.E.H 校验机制 SafeSEH。SafeSEH 需要 OS 和 Compiler 的双重支持,二者缺一都会降低保护能力。通过启用 /SafeSEH 链接选项可心使编译好的程序具备 SafeSEH 功能(VS2003 及后续版本默认启用)。该选项会将所有异常处理函数地址提取出来,编入 SEH 表中,并将这张表...
OD插件-ollysseh
09-10
This plugin does an in-memory scanning of process loaded modules checking if they were compiled with /SafeSEH, if so it can list the registered handlers (you can follow them at CPU window doing double click). This plugin is useful when exploiting vulnerabilities in systems with Software DEP protection. The plugin lists all loaded modules and can give you the following results for each one: /SafeSEH Off : No /SafeSEH, jump party ;-) /SafeSEH ON : /SafeSEH active, you can list registered handles using rigth click. No SEH : SEH is not active for this module, take a look at PE/COFF specs (IMAGE_DLLCHARACTERISTICS_ NO_SEH) Error : There was an error reading module structure :-(
OllyDbg的插件OllySSEH.dll
07-23
《0day安全》第二版第11章中用到的OllyDbg插件
SEH
weixin_30507269的博客
03-02 420
@author: dlive SEH是Windows的异常处理机制,在程序源代码中使用__try,__catch,__finally关键字来具体实现。 但SEH与C++的try, catch异常处理不同,从时间上看,与C++的try, catch相比,微软先创建了SEH机制,然后才将它搭载到VC++中。 SEH大量应用于压缩器,保护器,恶意程序用来反调试 0x01 OS的异常处理方法 正常运行时的...
OD插件
LDWJ2016的博客
09-25 3467
1. OD默认只能加载32个插件。 2. OD插件之间可能会有冲突。因此建议插件目录下仅放置常用的插件。 3. 命令行插件     3.1 打开插件: 单击菜单“Plugins/command line/command line”。     3.2 命令行插件的命令很多,详细命令可参阅其自带的帮助文档。     3.3 常用命令:           命令 功能 ? 表达式 计...
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试
weixin_30312563的博客
07-10 410
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
OllySSEH.dll
10-09
OllySSEH.dll OD插件 扫描OD载入PE文件的各模块是否开启SafeSEH选项
SEH反调试的实现与调试
热门推荐
小驹的专栏
05-16 1万+
SEH用于反调试或者用于注册码的隐藏时。在有异常时永远都是错误的注册码,只有当触发异常时,程序才走到注册成功的地方…… 代码如下: void CSehDlg::RegSuc() { HWND hWnd = ::GetDlgItem(NULL, IDC_STC_TIP); ::SetWindowText(hWnd, "Success!!"); } void CSehDlg::RegFai
od插件开发包
08-08
od插件开发包plug1101.rar
OD插件开发学习
ShadowAssassin的专栏
09-08 4529
关于OD 插件开发的相关api请到网上查阅,这里只给出一个简单基础的例子。 1、新建一个dll工程。 2、创建一个对话框,如图 3、资源文件头如下: //{{NO_DEPENDENCIES}} // Microsoft Visual C++ generated include file. // Used by odplugin1.rc // #define IDD_TEST
简单编写OD插件(附prince's TracKid源码)
ReversalC的专栏
09-13 5900
简单编写OD插件(附prince's TracKid源码)   OllyDbg是一个超强的WIN32调试器,相信大家都熟悉得不能再熟悉了,这里就不多说了。她提供 的插件接口给无数喜爱她的FANS带来了极大的方便,常用的OD隐藏插件、内存DUMP插件等更是脱壳必备。 看着各种插件的推陈出新,大家有有想过自己写一个属于自己的插件,实现给OD增加自己想要的功能呢 ?如果答案是肯定的话,其实很简
OllyDbg插件代码2
曲终人散
06-29 959
// Odb2插件.cpp : 定义 DLL 应用程序的导出函数。 // #include "stdafx.h" #include "Odb2插件.h" #include "..\\Odb2插件\\OllyDBG_Plugin2\\plugin.h" #pragma  comment(lib,"..\\Odb2插件\\OllyDBG_Plugin2\\ollydbg.lib")
js npapii使用embed 调用dll插件_OD插件编写
weixin_39879665的博客
11-24 345
OD的bugOD的异常bug当程序产生了异常后,操作系统在派发异常时,首先会将异常给调试器,但是在调试过程中,OD并不能成功收到异常,需要手动对 kernel32.dll中的 UnhandledExceptionFilter打补丁才能解决这个问题或者使用 SharpOD插件。手动修复Bug手动修改流程,使其可以执行下面的函数调用。Win10环境下将 UnhandledExceptionF...
OllyDbg插件
曲终人散
06-29 3208
第一章 初探OllyDbg1插件 官网http://www.ollydbg.de/给出了关于插件开发的信息。OllyDbg1.10的插件开发包在http://www.ollydbg.de/plug11.zip。该压缩包包含以下文件: │ Bookmark.c       OllyDbg书签插件源码,该插件支持调试程序时设置10个书签 │ Cmdexec.c         OllyDbg
动态分析工具OllyDbg学习笔记(一)-入门
byteway的专栏
03-22 4312
有耐性学不好逆向!!! OD常用快捷键: f2:断点 f3:打开文件 f4:执行到光标 f5:窗体大小话 f6:窗体切换 f7:单步步入 f8:单步步过 f9:运行(到断点停下) 组合快捷键: ctrl+f2:重启调试程序 ctrl+f7:自动单步步入 ctrl+f8:自动单步步过(esc暂停) ctrl+G:转到地址 ctrl+N:找到调用的API地址 ctrl+f9:执行到返回(一般是
利用OD插件ollysseh进行内存安全检查
标题:“OD插件-ollysseh”描述了该插件在OllyDbg中的作用。...通过以上知识点的详细说明,我们可以得知OD插件ollysseh”在安全分析和漏洞挖掘中的实际应用,以及它在提高系统安全性和抵御攻击方面所扮演的角色。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值