使用OllyDbg从零开始Cracking-24第二十四章-OllyDbg反调试之综合CrackMe.pdfVIP

第二十四章-OllyDbg反调试之综合练习 在我们介绍异常处理之前,我们先把上一 章留下的antisocial1这个反调试的综合 练习讲解一下。 这是一个加过壳的程序,当然,我们还没有 介绍壳的相关知识点,我们只需要知道该 程序加载到内存中以后,壳会解密原区段 的各个区段的数据,然后跳转到原入口点( OEP)处执行原程序的代码。当外壳程序解 密/解压还原并跳转到OEP处,此时的内存 映像就是已解压/解密过的程序,这个时候 将内存映像抓取并保存为文件即可 (该过 程称之为Dump)。 首先我们用之前重命名过的OD,并且带上 之前介绍过的所有插件,运行起来,我们会 发现程序会终止,我们来尝试修复它。 好了,现在我们用重命名过的OD加载antis ocial,将反反调试插件的选项都勾选上。 该提示表明该程序可能被加壳了,我们选 择”是”按钮,然后就停在了入口点处。 这里我们会看到一些奇怪的东西,POPAD指 令,该指令是从堆栈中恢复各个寄存器的 值。正常情况下,应该是首先PUSHAD保存 各个寄存器的值,而这里并没有执行PUSHA D指令,就比较可疑了。 我们运行起来看看会发生什么。 这里 这里提示错误-PUSH指令尝试压栈,但是这 里没有写权限,但是通常来说堆栈应该是 具有写权限的。我们来看一看堆栈。 当前栈顶指针指向的是130000,我们重新 启动程序。 我们可以看到当前各个区段的情况,我的 机器上堆栈是从12C000开始,到12FFFF结 束。而现在操作是以130000起始的内存, 它并不是堆栈,并没有写权限,所以会报错 。 我们再次来到发生错误的地方。 我们可以看到该程序执行了另一个POPAD 指令,接着就是条件跳转指令JNZ跳转到产 生异常的PUSH的指令处,我们给POPAD指令 这一行设置一个断点。 现在,我们重新运行该程序让其断在该断 点处。 我们现在来看下堆栈。 当前栈顶指针还属于堆栈的范围,紧接着 执行POPAD指令。 当前栈顶指针已经超出了堆栈的范围,这 是由刚刚的POPAD指令导致的,正常情况下 来说应该是一开始执行PUSHAD指令将各个 寄存器的值保存到堆栈中,然后才是执行P OPAD指令将堆栈的值恢复到各个寄存器中 。好了,我们现在将开始处的POPAD指令替 换成PUSHAD指令看看会发生什么,我们重 新启动该程序。 我们按下空格键。 我们输入PUSHAD。 现在我们运行起来,断在了第二个POPAD指 令处。 但此时的堆栈情况如下: 此时执行POPAD指令堆栈并不会越界,我们 按F8键单步看看。 我们可以看到堆栈并没有越界。 我们到达了PUSH指令处,紧接着是RET,我 们按F8键单步步过PUSH和RET指令。 好了,这里的OD分析有点问题,OD将这部分 代码当做数据解释了。 这里,我们单击鼠标右键选择Analysis-Re move analysis from module。现在代码 开起来正常了吧,我们运行起来看看会发 生什么。 程序终止了。我们查看一下日志信息,可 以看到一些有趣的东西。 我们可以看到断在了POPAD指令处,然后就 发生了异常。 我们重新启动程序,重复前面的步骤再次 来到这里。 为了让程序发生异常可以停下来,我们去 掉忽略所有异常的选项,第一个选项还是 保持勾选。 运行起来。 就像刚刚日志中描述的一样,发生异常停 了下来。 INT 68指令是少数OD无法处理的异常之一 。我们直接使用NOP指令填充即可。 另外,该程序里面可能还存在其他INT 68 指令会对我们进行干扰,我们直接搜索INT 68指令,将其填充为NOP即可。 我们可以看到找到了另一个INT 68指令, 我们直接NOP掉。 再次搜索,又找到了一个,继续NOP掉。 我们继续CTRL + L搜索,提示搜索结束,找 不到其他的INT 68指令了,我们运行起来 。 以上是我们使用了带反反调试插件的Olly Dbg调试的情况,现在我们尝试使用不带插 件的原版的OllyDbg 1.0来调试,手动来绕 过该反调试。 (PS:odbg110 FINAL sin plugins:表示不 带插件的OllyDbg) 我们打开不带反反调试插件的OllyDbg,由 于命令栏插件我们还是需要的,所以我们 将插件 目录指定为只包含命令栏插件的目 录。 我们可以看到这里面只有一个命令栏插件 ,我们运行OD。 还是跟之前一样,将POPAD指令替换成PUSH AD指令。 我们还是给后面的POPAD指令设置断点,运 行起来看看是否会