使用OllyDbg从零开始Cracking 第二十章-OllyDbg反调试之检测OD进程名
第二十章-OllyDbg反调试之检测OD进程名本章我们介绍通过查找OD进程名来进行反调试技巧,首先我们有必要对OD进行相应的设置。我们选择主菜单项Option-Debugging options-Security。我们可以看到这里有3个复选框,我们知道通常情况下,我们给某个API函数设置断点,当我们重启OD后,刚刚给API函数设置的断点就被清除了。但是勾选上这3个复选框,再给API函数设置断点,重启OD后我们会发现刚刚设置的断点依然存在,这就避免了重启OD后需要重新给API设置断点的麻烦。实际上,我也不知道OD关于这个功能的实现原理,我们只需要知道这3个复选框可以让我们设置的API断点在OD重启后仍然有效。这个设置我觉得很有必要,避免了很多麻烦,现在我们开始讨论通过查找OD进程名来进行反调试的话题吧。打开OD,接着通过Ctrl+Alt + Delete快捷键打开任务管理器。我们可以看到进程名称列表,我们可以通过检测进程名称是否为OllyDbg,如果是就结束进程,哈哈。我们来看一个CrackMe,这个CrackMe运用我们前面介绍的知识暂时还解决不了,我们只是来看看它是如何检测OllyDbg的进程名,以及我们如何来绕过它的检测,嘿嘿。这个CrackMe的名字叫做daxxor,如果我们先运行这个CrackMe,然后打开OD,会发现OD马上就退出了。如果我们用OD加载该CrackMe然后运行起来,会发生两者一起退出了。如何来应对这种情况呢,我们先用OD加载这个CrackMe。停在了入口点处,我们先看看该程序使用了哪些API函数。我们可以看到有很多API函数,但都不是用于检测进程名的,可能这些重要的API函数被隐藏起来了,没有出现该列表中。很显然如果程序不直接导入某些API的话,会使用GetProcAddress这个API 函数来获取这些API函数的地址进行间接调用。使用GetProcAddress函数加载的一些API函数并不会出现该API函数列表中,我们给GetProcAddress设置一个断点。运行起来。断在了GetProcAddress的入口点处,当前待获取的函数是__CPPdebugHook,该函数检测进程名没有关系,继续运行。我们继续按F9键运行直到待获取的API是与检测进程名相关的为止,这里待获取的API函数是EnumProcesses,这里通过选择主菜单项Debug-Execute till return执行到返回,这个时候EAX寄存器中保存的就是EnumProcesses这个API函数的地址了。我们接着就可以给该地址设置断点了。这里EAX就保存了EnumProcesses的函数地址,我的机器上是76BB3A9A(可能与你机器上的不一样)。另外,OD的API的函数列表中并没有列出EnumProcesses这个名称,所以我们直接bp EnumProcesses是设置不了断点的,我们可以给EnumProcesses函数的地址设置断点。设置成功了。好了,我们已经给EnumProcesses设置了断点,继续我们刚才的步骤,看看还有什么API函数被加载。这里是获取枚举进程模块函数的地址,我们还是执行到返回,接着给EAX中保存的地址设置断点。我们直接在命令栏中输入bp EAX。同理,我们给所有与检测进程名相关的API函数设置断点。这里是另外一个可疑的API函数GetModuleBaseNameA,我们跟之前一样给该函数设置断点,然后我们运行起来,断在了EnumProcesses函数的入口处。我们通过双击反汇编窗口的注释区域来给该函数添加注释,注释上该函数的名称EnumProcesses。我们给这些通过GetProcAddress加载的API设置断点,并且断下来了,但是OD并没有在API函数列表中找到与之对应的项,所以OD也没有提示该函数相关信息。我们谷歌一下“EnumProcesses”。找到一个微软的网站页面:http://msdn2.microsoft.com/en-us/library/ms682629.aspx上面的解释是该函数返回正在运行的每个进程的标识即PID。好了,接下来我们看看神马是PID,嘿嘿。PID是系统分配给每个正在运行的进程的标识符-每次启动的时候都会发生变化。我们来看看进程列表。我们可以看到,这里,OD的PID是724-十进制。我们用windows自带的计算器将该PID值转化为十六进制。单击Hex按钮,就以十六进制显示了。PID对应的十六进制为2D4。可以关闭OD然后重新打开一个OD,会发现PID发生了变化。进程每次重新启动,PID都改变了。很不走运,API的参数提示也没有了。根据MSDN我们知道该函数有3个参数。在我们的机器上12EDE4该地址指向了保存所有进程PID的数组,我们执行到返回看看该API函数返回了什么,我们通过数据窗口查看一下。在PID列表中我们找到了OD的PID的值,嘿嘿。我们给该PID设置内存访问断点,看看哪里使用了它。运行起来。可以看到这里将要调用OpenProcess,如果调用成功,就会获取OD进程的句柄。PID跟句柄有什么区别呢?很简单。PID是用于区别不同进程的标示符,一个进程被创建后这个进程的PID就是不变的,除非进程重新启动。当前,OD的进程PID是2D4。而句柄实际上是一个指针,它指向一个包含具体数据结构的内存,可能当做索引,所以句柄是你每次访问该进程的时候获取的,使用完毕后要释放,然后通过该句柄可以对该进程进行相应操作。下面是OpenProcess其他参数参数解释,我们并不感兴趣。返回值为指定进程的句柄。我们F8单步直到调用该函数。EAX中返回了OllyDbg进程的句柄,我这里是58。我们也可以通过单击工具栏上面的H按钮查看OD的句柄列表。我们可以看到58对应的类型是Process,它标识的是OllyDbg的进程句柄。如果另一个进程调用EnumProcesses获取OD的进程PID的话,仍然会是2D4,但是获取进程句柄的话,会是另外一个值,因为句柄在系统中是独一无二的。这里,OllyDbg进程就比较危险了,有了OD的进程句柄,该程序就可以做很多事情了(比如结束OD进程),以上只是检测OllyDbg步骤的一部分,现在还需要来验证一下进程名称是否为OllyDbg,很明显该程序会对进程列表的所有进程做以上操作,我们跳过这些步骤直接给对应的PID设置内存访问断点。我们继续F8键单步。我们看到了EnumProcessModules这个函数,我们看看MSDN上面关于这个函数的说明。该函数是枚举指定进程的模块,我们F7键跟进到该函数的入口处。我们在堆栈窗口中来看看参数情况:58是OD的进程句柄作为第一个参数。这里,你需要清楚一点:当我们请求获取进程中模块句柄的时候,系统会返回该模块在进程内存中基地址(模块起始地址),这里,系统给我返回的是400000,该基地址对应的OllyDbg进程中的。继续跟,我们可以看到另一个API函数。GetModuleBaseNameA该函数是获取指定进程模块的名称,lpBaseName这个参数是用来保存模块名称的缓冲区首地址,我们执行到返回。堆栈窗口中参数情况如下:58是OllyDbg的进程句柄,400000是OD主模块的基地址,用于保存模块名称的缓冲区首地址为12ECE0,我们在数据窗口中定位到这个地址。呵呵,很显然,我们执行到返回以后获取到了进程的模块名称,同理,该程序会依次判断每个进程的名称是否为”OLLYDBG.exe”。好了,现在我们看到了CloseHandle这个API函数,该函数用来关闭指定的句柄,即58将从句柄列表中消失。好了,现在进程句柄被关闭了,我们不能再依赖它了。这里有一个CALL指令,我们按F7键跟进。这里,我们可以看到将要压入堆栈的是“OLLYDBG”字符串的第一个字母(4F),然后调用一个CALL指令,我们继续跟进。我们可以看到这个CALL里面没有什么特别的,所以我们跟出来,然后跟到下一个CALL指令处。跟进。嘿嘿,这里在比较进程名称是否为”OLLYDBG.EXE”,如果是,就会...嘿嘿,我们现在执行到返回,看看会发生什么。如果进程名不为”OLLYDBG.EXE”,EAX就不等于0,JNZ条件跳转将会发生,如果EAX为0,条件跳转不会发生,将执行后面结束OD进程等一系列操作。跳转不会发生,将会再次调用OpenProcess打开OD进程并且获得其句柄,然后调用TerminateProcess结束掉该OD进程。我们按F8键单步。返回的是58,我们继续。正如你所看到的,调用TerminateProcess这个API函数,指定进程的句柄,结束调用OllyDbg进程。我们按F8键,OD被关闭了。这就是我们研究的如何检测OllyDbg进程名的原理。好吧,我们重新启动OD,然后在OpenProcess入口处设置断点。断了下来,我们可以修改该API函数,让它总是返回0,程序就会认为没有其他程序正在运行,获取不到任何进程句柄,要做到这一点,我们修改最后一行。这样,这个API函数就总是返回0了。现在我们删除之前设置的所有断点。接着设置一下主菜单项中的调试选项中的异常,如下:这里,我们勾选上忽略所以异常,因为这些异常中(有的必须按Shift + F9键,才能忽略异常继续执行,这里我们直接忽略掉)运行起来。正常运行,其实你也可以这么做:将JNZ修改为JMP,让其直接跳过下面的关闭OllyDbg进程的代码。运行起来,主窗口显示出来了,我们单击Try按钮。会弹出一个错误信息框。显示您已经成功绕过该反调试。以上的方法并不一定能绕过这个反调试,其实我们可以通过将OLLYDBG.EXE创建一个副本,将其重命名为PIRULO.EXE,然后运行该程序,被其调试的程序将无法找到一个进程名为OLLYDBG的进程了。有一点很重要就是在OD的文件夹下面留一个原始的OD,避免OD的插件出现问题。以上只是该程序检测OllyDbg的一部分,如果我们输入正确的序列号,该程序还会调用其他的一些API函数来检测是否被OD调用,我们下一章再来详细讨论。本系列文章汉化版转载看雪论坛
感谢原作者:RicardoNarvaja(西班牙人) 原作者个人主页:http://www.ricardonarvaja.info/
感谢热心翻译的朋友:1~3章译者:BGCoder4~58章译者:安于此生
全集配套程序下载地址:链接: http://pan.baidu.com/s/1eQzTWfo 密码: vytv
太感谢了,学习了!! 感谢发布原创作品! 谢谢楼主分享 纯支持一下下,,, 学习中牛掰
页:
[1]