使用OllyDbg从零开始Cracking 第二十四章-OllyDbg反调试之综合练习.doc

第二十四章-OllyDbg反调试之综合练习 在我们介绍异常处理之前,我们先把上一章留下的antisocial1这个反调试的综合练习讲解一下。 这是一个加过壳的程序,当然,我们还没有介绍壳的相关知识点,我们只需要知道该程序加载到内存中以后,壳会解密原区段的各个区段的数据,然后跳转到原入口点(OEP)处执行原程序的代码。当外壳程序解密/解压还原并跳转到OEP处,此时的内存映像就是已解压/解密过的程序,这个时候将内存映像抓取并保存为文件即可(该过程称之为Dump)。 首先我们用之前重命名过的OD,并且带上之前介绍过的所有插件,运行起来,我们会发现程序会终止,我们来尝试修复它。 好了,现在我们用重命名过的OD加载antisocial,将反反调试插件的选项都勾选上。 该提示表明该程序可能被加壳了,我们选择”是”按钮,然后就停在了入口点处。 这里我们会看到一些奇怪的东西,POPAD指令,该指令是从堆栈中恢复各个寄存器的值。正常情况下,应该是首先PUSHAD保存各个寄存器的值,而这里并没有执行PUSHAD指令,就比较可疑了。 我们运行起来看看会发生什么。 这里 这里提示错误-PUSH指令尝试压栈,但是这里没有写权限,但是通常来说堆栈应该是具有写权限的。我们来看一看堆栈。 当前栈顶指针指向的是130000,我们重新启动程序。 我们可以看到当前各个区段的情况,我的机器上堆栈是从12C000开始,到12FFFF结束。而现在操作是以130000起始的内存,它并不是堆栈,并没有写权限,所以会报错。 我们再次来到发生错误的地方。 我们可以看到该程序执行了另一个POPAD指令,接着就是条件跳转指令JNZ跳转到产生异常的PUSH的指令处,我们给POPAD指令这一行设置一个断点。 现在,我们重新运行该程序让其断在该断点处。 我们现在来看下堆栈。 当前栈顶指针还属于堆栈的范围,紧接着执行POPAD指令。 当前栈顶指针已经超出了堆栈的范围,这是由刚刚的POPAD指令导致的,正常情况下来说应该是一开始执行PUSHAD指令将各个寄存器的值保存到堆栈中,然后才是执行POPAD指令将堆栈的值恢复到各个寄存器中。好了,我们现在将开始处的POPAD指令替换成PUSHAD指令看看会发生什么,我们重新启动该程序。 我们按下空格键。 我们输入PUSHAD。 现在我们运行起来,断在了第二个POPAD指令处。 但此时的堆栈情况如下: 此时执行POPAD指令堆栈并不会越界,我们按F8键单步看看。 我们可以看到堆栈并没有越界。 我们到达了PUSH指令处,紧接着是RET,我们按F8键单步步过PUSH和RET指令。 好了,这里的OD分析有点问题,OD将这部分代码当做数据解释了。 这里,我们单击鼠标右键选择Analysis-Remove analysis from module。现在代码开起来正常了吧,我们运行起来看看会发生什么。 程序终止了。我们查看一下日志信息,可以看到一些有趣的东西。 我们可以看到断在了POPAD指令处,然后就发生了异常。 我们重新启动程序,重复前面的步骤再次来到这里。 为了让程序发生异常可以停下来,我们去掉忽略所有异常的选项,第一个选项还是保持勾选。 运行起来。 就像刚刚日志中描述的一样,发生异常停了下来。 INT 68指令是少数OD无法处理的异常之一。我们直接使用NOP指令填充即可。 另外,该程序里面可能还存在其他INT 68指令会对我们进行干扰,我们直接搜索INT 68指令,将其填充为NOP即可。 我们可以看到找到了另一个INT 68指令,我们直接NOP掉。 再次搜索,又找到了一个,继续NOP掉。 我们继续CTRL + L搜索,提示搜索结束,找不到其他的INT 68指令了,我们运行起来。 以上是我们使用了带反反调试插件的OllyDbg调试的情况,现在我们尝试使用不带插件的原版的OllyDbg 1.0来调试,手动来绕过该反调试。 (PS:odbg110 FINAL sin plugins:表示不带插件的OllyDbg) 我们打开不带反反调试插件的OllyDbg,由于命令栏插件我们还是需要的,所以我们将插件目录指定为只包含命令栏插件的目录。 我们可以看到这里面只有一个命令栏插件,我们运行OD。 还是跟之前一样,将POPAD指令替换成PUSHAD指令。 我们还是给后面的POPAD指令设置断点,运行起来看看是否会断下来。 我们到了壳解压完毕处。 我们清空掉所有的忽略异常的选项,当我们运行起来,遇到INT 68指令时,将其NOP掉。而并不是使用SHIFT + F9忽略异常。 现在我们来看看程序中使用了哪些API函数。 还有一点就是别忘了勾选这个选项: 选择了该选项后,就会显示我们当前所在区段的相关信息。 该列表中显示没有几个API函数,