OD被Anti的原因分析及应对之道(转载)

寻步 — Mon, 07 Jan 2013 02:10:00 GMT

标题: 【原创】OD被Anti的原因分析及应对之道
作者: tangjiutao
时间: 2009-12-02,22:21:56
链接: http://bbs.pediy.com/showthread.php?t=102366

本文链接：http://bbs.pediy.com/showthread.php?t=102366
OD载入程序就自动退出是比较恼人的，还没开始调试呢就退出了，这可让人如何是好。初学破解的人一定会遇到这个问题,怎样解决呢，网上虽然有零星的介绍但都不全面，以下是我总结的一些，希望能对各位初学者有所帮助。
（比如Peid、FI查壳查不到，OD一载入就退出，这极有可能是VMProtect的保护（虚拟机保护），用EXEinfo可以查出来一些版本的VMP，如果有这个提示那就更确定无疑了“A debugger has been found running in your system.Please, unload it from memory and restart your program”。）
1.更换几个OD试试，OllyICE、Shadow、加强版等
2.用附加的方式加载程序，文件-->附加,能解决很多问题
3.OD目录下，将475K 的DbgHelp.dll文件换成近1M大小的DbgHelp.dll文件，475K的有溢出漏洞，这条比较关键
4.使用StrongOD插件，（StrongOD+原版OD试试），这条比较关键
5.StrongOD中选择CreateAsRestrict
6.尝试命令bp ExitProcess，看能否发现什么线索
7.改变ollydbg.ini中的驱动名称，修改版的OD不需要自己改
DriverName                 -      驱动文件名，设备对象名
DriverKey                     -     和驱动通信的key
HideWindow                 -    是否隐藏窗口，1为隐藏，0为不隐藏
HideProcess                 -     是否隐藏od进程，1为隐藏，0为不隐藏
ProtectProcess             -     是否隐藏保护Od进程，1为保护，0为不保护
8.改OD窗体类名，用的修改版的话一般都改过了，不需要自己再改
方法如下：
主窗体类名:
引用:
VA:004B7218
Offset:000B6018
各子窗体类名：
引用:
VA:004B565B ~ 004B568A
Offset:000B445B ~ 000B448A
改成任意，可以过GetWindow检测
9.手动修改程序“导出表”中的“函数名数目”值，上面方法不管用再试试它
方法：使用“LordPE”打开要编辑的PE程序，然后依次选择[目录]->[导出表对应的“..”按钮]，把“函数名数目”的值减1，并点击“保存”按钮，就OK了。为了好看些，也可以把“函数数目”和“函数名数目”的值都同时减1并保存，效果一样。
   解释：一般情况下EXE不会加“导出表”，如果加了，就应该给出所导出的API函数。当我们打开这类PE程序(EXE版)时，会发现它存在“导出表”，但“导出表”中并没有导出的API函数。同时“函数数目”和“函数名数目”的值都比原PE程序设置的值大了1(如：EXE版“导出表”列表中显示了0个导出的API函数，壳将其“函数数目”和“函数名数目”的值都设置成了1；DLL版“导出表”列表中显示了0xD个导出的API函数，壳将其“函数数目”和“函数名数目”的值都设置成了0xE。)。所以我们将其减1，就OK了。被修改过的PE程序，可以正常运行，不会有任何影响。

这只是我的一点总结，附加方式加载、替换DBGHELP.DLL、使用StrongOD插件和修改导出表函数名数目的方法是可行的，能够解决一些问题。当然这些方法可能并不全面。

ANTI-OD原因解读：
概括来说：TLS回调函数在入口点之前执行，并进行了ANTI-OD的操作.
具体请看：TLS数据初始化和TLS回调函数都会在入口点之前执行，也就是说TLS是程序最开始运行的地方，因此可以在这里防止ANTI-OD的代码，检测并关闭OD。
应对方法：
  默认情况下OllyDbg载入程序将会暂停在入口点，应该配置一下OllyDbg使其在TLS回调被调用之前中断在实际的loader。
  通过“选项->调试选项->事件->第一次中断于->系统断点”来设置中断于ntdll.dll内的实际loader代码。这样设置以后，OllyDbg将会中断在位于执行TLS回调的ntdll!LdrpRunInitializeRoutines()之前的ntdll!_LdrpInitializeProcess()，这时就可以在回调例程中下断并跟踪了。例如：在内存映像的.text代码段上设置内存访问断点，就可以断在TLS回调函数里。

更多TLS内容请看我的两篇博文：
TLS回调函数，Anti-od原理分析：http://hi.baidu.com/tjt999/blog/item...808f7eff1.html
TLS回调函数，Anti-od实例： http://hi.baidu.com/tjt999/blog/item...f359bf7f3.html

更多反调试知识请看《脱壳的艺术》和我的
《各种反调试技术原理与实例》： http://bbs.pediy.com/showthread.php?t=106143
如需交流请进群：1684360

实例代码：程序见附件，用原版OD测试，参考了某位大虾的代码。
.386
.model   flat,stdcall
option   casemap:none
include windows.inc
include user32.inc
include kernel32.inc
includelib user32.lib
includelib kernel32.lib

.data?
dwTLS_Index dd  ?

OPTION    DOTNAME
;; 定义一个TLS节
.tls  SEGMENT
TLS_Start LABEL  DWORD
dd    0100h    dup ("slt.")
TLS_End   LABEL  DWORD
.tls   ENDS
OPTION    NODOTNAME

.data
TLS_CallBackStart  dd  TlsCallBack0
TLS_CallBackEnd    dd  0
szTitle            db  "Hello TLS",0
szInTls            db  "我在TLS里",0
szInNormal         db  "我在正常代码内",0
szClassName        db  "ollydbg"        ; OD 类名
;这里需要注意的是，必须要将此结构声明为PUBLIC,用于让连接器连接到指定的位置，
;其次结构名必须为_tls_uesd这是微软的一个规定。编译器引入的位置名称也如此。
PUBLIC _tls_used
_tls_used IMAGE_TLS_DIRECTORY

.code
;***************************************************************
;; TLS的回调函数
TlsCallBack0 proc Dllhandle:LPVOID,dwReason:DWORD,lpvReserved:LPVOID
     mov     eax,dwReason ;判断dwReason发生的条件
     cmp     eax,DLL_PROCESS_ATTACH  ; 在进行加载时被调用
     jnz     ExitTlsCallBack0
     invoke  FindWindow,addr szClassName,NULL  ;通过类名进行检测
     .if     eax     ;找到
             invoke    SendMessage,eax,WM_CLOSE,NULL,NULL
     .endif
     invoke  MessageBox,NULL,addr szInTls,addr szTitle,MB_OK
     mov     dword ptr[TLS_Start],0
     xor     eax,eax
     inc     eax
ExitTlsCallBack0:
     ret
TlsCallBack0   ENDP
;****************************************************************
Start:
    invoke   MessageBox,NULL,addr szInNormal,addr szTitle,MB_OK
    invoke   ExitProcess, 1
    end  Start

参考文献：
   http://www.unpack.cn/viewthread.php?tid=35013&extra=page%3D1

寻步 2013-01-07 10:10 发表评论

2013，年计划

寻步 — Sat, 29 Dec 2012 07:07:00 GMT

Windows核心编程书(思想)
C++、汇编(语言)
OD、IDA验证思想(工具)

寻步 2012-12-29 15:07 发表评论

遍历输入表的简单逆向

寻步 — Fri, 28 Dec 2012 09:01:00 GMT

int main(int argc, char* argv[])
{
    HMODULE  hMod = GetModuleHandle(NULL);
    IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hMod;
    IMAGE_OPTIONAL_HEADER* pOptHeader = (IMAGE_OPTIONAL_HEADER*)((BYTE*)hMod+pDosHeader->e_lfanew+24);
    IMAGE_IMPORT_DESCRIPTOR* pImportDesc = (IMAGE_IMPORT_DESCRIPTOR*)((BYTE*)hMod+pOptHeader->DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT].VirtualAddress);
    while (pImportDesc->FirstThunk)
    {
        char* pszDllName = (char*)((BYTE*)hMod+pImportDesc->Name);
        printf("\nModule Name：%s\n",pszDllName);

        IMAGE_THUNK_DATA* pThunk = (IMAGE_THUNK_DATA*)((BYTE*)hMod+pImportDesc->OriginalFirstThunk);
        int n = 0;
        while (pThunk->u1.Function)
        {
            char* pszFunName = (char*)((BYTE*)hMod+(DWORD)pThunk->u1.AddressOfData+2);
            PDWORD lpAddr = (DWORD*)((BYTE*)hMod+pImportDesc->FirstThunk)+n;
            printf("Fuction Name：%-27s,",pszFunName);
            printf("Fuction Address：%X\n",*lpAddr);
            n++;
            pThunk++;
        }
        pImportDesc++;
    }

    getchar();

    return 0;
}

得到输入表地址：

后面的两个循环：

寻步 2012-12-28 17:01 发表评论

CE辅助OD分析外挂

寻步 — Mon, 24 Dec 2012 08:47:00 GMT

1.同一个按钮，挂机和取消挂机是两种状态，应该有一个标志位做判断。这里，挂机的时候标志位为1，取消挂机时，标志位为0。
用CE进行反复搜索，直到找到标志位的地址。
2.用OD挂接游戏，在标志位地址处下内存访问(写)断点，按挂机按钮断下。此处来到了外挂的代码领空，上下文就是相关的功能代码。

寻步 2012-12-24 16:47 发表评论

C++博客-逆向分析专栏-随笔分类-Reverse

OD被Anti的原因分析及应对之道(转载)

2013，年计划

遍历输入表的简单逆向

CE辅助OD分析外挂