shielden求助 如何让 Safengine Shielden 2.3.3.0 可受调试
shielden 时间:2021-10-25 阅读:(
)
shield是什么意思
shield [英][?i:ld][美][?ild] n.盾; 护罩; 盾形奖牌; 保护人; vt.保护; 掩护; 庇护; 给…加防护罩; 第三人称单数:shields过去分词:shielded复数:shields现在进行时:shielding过去式:shielded 以上结果来自金山词霸 例句: 1. The nuclear weapons shield pakistan from ountability. 核武器保护巴基斯坦免担责任 . ----------------------------------- 如有疑问欢迎追问! 满意请点击右上方【选为满意回答】按钮求助 如何让 Safengine Shielden 2.3.3.0 可受调试
(1)
在内存里找 CreateThread 的 Shadow :
癈了他. 请将第一条指令改成 ret 18, 如 :
shadow_CreateThread
00D1FB55 8BFF mov edi, edi ;改成 ret 18
00D1FB57 55 push ebp
00D1FB58 8BEC mov ebp, esp
00D1FB5A FF75 1C push dword ptr [ebp+1C]
00D1FB5D FF75 18 push dword ptr [ebp+18]
00D1FB60 FF75 14 push dword ptr [ebp+14]
00D1FB63 FF75 10 push dword ptr [ebp+10]
00D1FB66 FF75 0C push dword ptr [ebp+C]
00D1FB69 FF75 08 push dword ptr [ebp+8]
00D1FB6C 6A FF push -1
00D1FB6E E8 D9FDFFFF call 00D1F94C
00D1FB73 5D pop ebp
00D1FB74 C2 1800 ret 18
复制代码
原因应该不用讲了吧. 那些反调试选项每打个勾就占一个 Thread.
我是看到 nevsayno 的贴图才想到 一个选项 一个 Thread 的, 借
他的图贴一下 :)
(2)
在内存里(跟上面是同一段的)找 GetThreadContext 的 Shadow :
Shadow_GetThreadContext
00D488DD 8BFF mov edi, edi
00D488DF 55 push ebp
00D488E0 8BEC mov ebp, esp
00D488E2 FF75 0C push dword ptr [ebp+C]
00D488E5 FF75 08 push dword ptr [ebp+8]
00D488E8 FF15 EA0ED100 call [D10EEA]
00D488EE 85C0 test eax, eax
00D488F0 0F8C 57B60000 jl 00D53F4D
00D488F6 33C0 xor eax, eax
00D488F8 40 inc eax
00D488F9 5D pop ebp
00D488FA C2 0800 ret 8 ;jmp 00E41F90
00D488FD 90 nop
00D488FE 90 nop
00D488FF 90 nop
00D48900 90 nop
00D48901 90 nop
复制代码
上面的 ret 8 改成跳到没用之处, 并增写下列代码 :
00E41F90 50 push eax
00E41F91 8B4424 0C mov eax, [esp+C]
00E41F95 8038 10 cmp byte ptr [eax], 10
00E41F98 75 16 jnz short 00E41FB0
00E41F9A 33D2 xor edx, edx
00E41F9C 8950 04 mov [eax+4], edx ;clr Dr0~3
00E41F9F 8950 08 mov [eax+8], edx
00E41FA2 8950 0C mov [eax+C], edx
00E41FA5 8950 10 mov [eax+10], edx
00E41FA8 52 push edx
00E41FA9 6A 04 push 4
00E41FAB E8 457C9C7B call kernel32.TlsSetValue
00E41FB0 58 pop eax
00E41FB1 C2 0800 ret 8
复制代码
原因:
壳总是会判断这 TlsValue 是否等于 Dr0+Dr1+Dr2+Dr3 之 Total 值
我们在壳欲取得 Drx 的值时,将之清为 0,并设 TlsValue 为 0
注: 因为这样本只有 Anti Debugger 时会调用 Shadow_GetThreadContext
所以若新代码你不想用串接的话,直接覆盖也行.
(3)
在内存里找 SetThreadContext 的 Shadow :
并将开头改为:
mov al, 1
ret 8
复制代码
原因:
若不癈了这函数的话,到时可能我们自己调试用的硬断会被抢走.
(4)
之前我们有记下一个值为 42F765, 其实这是 VM 的 ds:[imm] 指令 :
vm.ds:[imm]
0042F763 8B01 mov eax, [ecx] ;jmp 00534FC5
0042F765 8D1C33 lea ebx, [ebx+esi]
0042F768 ^ 7E B9 jle short 0042F723
0042F76A ^ 7F CB jg short 0042F737
复制代码
我们得 Hook 它.跳到没用处并写下列代码 :
这里的 4 个 cmp , 为一开头我们记录下来的那 Dr0~3
00534FC5 81F9 C4754000 cmp ecx, 004075C4
00534FCB 74 18 je short 00534FE5
00534FCD 81F9 49754000 cmp ecx, 00407549
00534FD3 74 10 je short 00534FE5
00534FD5 81F9 B4744000 cmp ecx, 004074B4
00534FDB 74 08 je short 00534FE5
00534FDD 81F9 AF744000 cmp ecx, 004074AF
00534FE3 75 09 jnz short 00534FEE
00534FE5 9C pushfd
00534FE6 66:810C24 0001 or word ptr [esp], 100
00534FEC 9D popfd
00534FED 90 nop
00534FEE 8B01 mov eax, [ecx] ;补上原指令
00534FF0 8D1C33 lea ebx, [ebx+esi] ;补上原指令
00534FF3 ^ E9 70A7EFFF jmp 0042F768 ;跳回
复制代码
原因:
壳总是会设那 4 个值到 Dr0~3, 并设 Dr7 为 33335555h
意思是只要读取那 4 处, 就会产生 80000004 的例外,
壳特意去读取时,若没发生 80000004 的话是不行的.
当你 OD 设了断点断下来后,任何将控制权再交给 Target 的动作前,
OD都会改其值,这就是很多人讲的:只要一断不管什么断,就没办法
正常 Run 下去了的原因.
一开头被我们删掉的 7 个 Thread 里也充满了这些对 Drx 的占用.
(5)
改 VM 的 rdtsc 指令
vm.rdtsc 原样为 :
rdtsc
sub ebp, 8
mov [ebp+0], edx
mov [ebp+4], eax
复制代码
中间当然被插入好多垃圾,我们主要是要让 eax = 0, 本样本如下 :
00437C98 8D2424 lea esp, [esp] ;改为xor eax,eax / nop
00437C9B 895500 mov [ebp], edx
复制代码
刚好可将 lea esp,[esp] 这垃圾指令改为 xor eax,eax / nop
原因:
壳总是利用 rdtsc.eax 来乱数做内存校验
我们有改了 ds:[imm], 而且我们可能日后会下一大堆软件断点(CC)
改了后,他就只固定去校验第0小块.
完成上面5项,对壳里对软件里对云里雾里,应该就跟调试记事本一样了.
你可完全的分析此壳了.
最后同样的,让我们期待大牛的脱壳脚本吧.
注: 针对 "无法下断点" 这词 :
若你当平常的壳在调试的话, 调试过程你会有二种现象 :
1. 你下了断点, 也断了下来, 也能 F9 成功 Run 起.
不要高兴, 这是因为壳尚未起动 Anti.
2. 若壳的 Anti 起动了的话, 你的断点断了下来, 但你已无法正常执行了
可能会得到 "内部错误" 之类的讯息.
3. 若内存校验被检出的话,可能直接 Crash .
官方网站:https://www.shuhost.com/公司名:LucidaCloud Limited尊敬的新老客户:艰难的2021年即将结束,年终辞旧迎新之际,我们准备了持续优惠、及首月优惠,为中小企业及个人客户降低IT业务成本。我们将持续努力提供给客户更好的品质与服务,在新的一年期待与您有美好的合作。# 下列价钱首月八折优惠码: 20211280OFF (每客户限用1次) * 自助购买可复制...
趣米云早期为做技术起家,为3家IDC提供技术服务2年多,目前商家在售的服务有香港vps、香港独立服务器、香港站群服务器等,线路方面都是目前最优质的CN2,直连大陆,延时非常低,适合做站,目前商家正在做七月优惠活动,VPS低至18元,价格算是比较便宜的了。趣米云vps优惠套餐:KVM虚拟架构,香港沙田机房,线路采用三网(电信,联通,移动)回程电信cn2、cn2 gia优质网络,延迟低,速度快。自行封...
无忧云官网无忧云怎么样 无忧云服务器好不好 无忧云值不值得购买 无忧云,无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免北岸建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高...
shielden为你推荐
巨人职业巨人 什么职业最好啊xiechengwang携程网之父是谁?罗斯柴尔德家族现状罗斯柴尔德家族的现状?月松松针茶的注意事项纯紫女生喜欢紫色代表什么?痒是谁写的痒黄龄歌词什么意思姚劲波简历姚劲波老婆是谁?盘点企业家背后的老婆冒险小虎队动画片超高悬赏——100分(追加20分)问题:谁能告诉我们小时候的,怀念的,经典的事物……比如:动画——奥特曼;饮料——健力宝、旭日升;游戏——木头人;玩具——弹弓……等等吧f4nn有什么恐怖电影浙大网新培训浙大网新和网新天津有关系吗
二级域名查询 重庆服务器托管 ix主机 精品网 私人服务器 mach 网站挂马检测工具 中国电信测速网 爱奇艺vip免费领取 服务器维护 vul 中国电信网络测速 lamp兄弟连 免费赚q币 windowsserver2008 comodo 赵荣博客 上海服务器托管 个人域名如何备案 snis-789 更多