gogo大尺度成人免费视频,91精品视频在线看,成人免费在线视频网址

錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù),錦州廣廈維修電腦,公司IT外包服務(wù)

		設(shè)為首頁
		收藏本站

首頁

公司介紹

服務(wù)項(xiàng)目

服務(wù)報價

維修流程

IT外包服務(wù)

服務(wù)器維護(hù)

技術(shù)文章

常見故障

錦州市廣廈電腦維修|上門維修電腦|上門做系統(tǒng)|0416-3905144熱誠服務(wù) → 技術(shù)文章

[原創(chuàng)] 詳解Safengine Shielden 2.3.8.0 脫殼分析

作者: xiaohang99 日期:2017-04-13 12:12:50 來源: 本站整理

SE 2.3.8.0目前已知的最大反調(diào)試手段就是anti斷點(diǎn)，主要是anti了硬件斷點(diǎn)和int3軟斷點(diǎn)，加殼后無法對被加殼的程序下斷，客觀上提高了脫殼的難度，所以第一步是要想辦法把a(bǔ)nti斷點(diǎn)去掉。
我的思路
int3軟斷點(diǎn)的anti必然是基于內(nèi)存效驗(yàn)的方法（int3軟斷點(diǎn)需要修改內(nèi)存代碼），對殼代碼進(jìn)行hash效驗(yàn)保護(hù)，如若發(fā)現(xiàn)內(nèi)存有被修改，則結(jié)束進(jìn)程。如果要patch掉內(nèi)存hash效驗(yàn)，必須知道hash代碼的位置，由于SE的垃圾混淆代碼很多，更本不可能通過搜索的方式獲取，最好的辦法就是用硬件斷點(diǎn)下一個讀取斷，所以問題就是要先修復(fù)硬件斷點(diǎn)。
對于硬件斷點(diǎn)，SE采用的是先通過SetThreadContext設(shè)置四個DRx寄存器為1byte讀取特定地址的斷點(diǎn)，然后通過在虛擬機(jī)中構(gòu)造讀取特定地址以產(chǎn)生異常，再用SEH handler處理異常，并檢測DRx寄存器的值。如果該產(chǎn)生異常的時候沒有產(chǎn)生異常，又或者DRx的值不為先前SetThreadContext設(shè)定的值，那么就退出進(jìn)程。
對于內(nèi)存斷點(diǎn)反anti，暫時沒有思路，還需要繼續(xù)研究。
處理過程
先獲取SE對DRx設(shè)置的值。
1、先在KiUserExceptionDispatcher下斷
2、斷下兩次后記錄

[Asm] 純文本查看復(fù)制代碼

1	[esp+0x14] = 0012F7FC 00E8A7CA unpackme.00E8A7CA //異常產(chǎn)生的位置，就是后面的vm:ds[imm]位置

3、CPU窗口中顯示調(diào)試寄存器
      DR0 =00E57016
      DR1 =00E57000
      DR2 =00E57004
      DR3 = 00E57008
      DR7 = 33330555
Patch  Shadow_CreateThread
由于SE會產(chǎn)生數(shù)個線程來進(jìn)行反調(diào)試檢測，內(nèi)存完整性檢測等，為了減少干擾項(xiàng)，把SE創(chuàng)建的檢測線程先patch掉，不讓他啟動，可能會對后面的程序運(yùn)行有副作用，但是便于我一開始的脫殼調(diào)試。
      PS: SE會把NTDLL.dll 和krenel32.dll中的一些代碼Shadow到一段自己分配的空間中，所以需要利用內(nèi)存搜索的方法，搜索特定代碼找到這些被Shadow的API。

先在KiUserExceptionDispatcher下斷
第一次斷下后，搜索特征代碼

#8BFF558BECFF751CFF7518FF7514FF7510FF750CFF75086AFFE8????????5DC21800#
搜索到的代碼：

[Asm] 純文本查看復(fù)制代碼

00D1FB55 8BFF mov edi, edi ;改成 ret 18

00D1FB57 55 push ebp

00D1FB58 8BEC mov ebp, esp

00D1FB5A FF75 1C push dword ptr [ebp+1C]

00D1FB5D FF75 18 push dword ptr [ebp+18]

00D1FB60 FF75 14 push dword ptr [ebp+14]

00D1FB63 FF75 10 push dword ptr [ebp+10]

00D1FB66 FF75 0C push dword ptr [ebp+C]

00D1FB69 FF75 08 push dword ptr [ebp+8]

00D1FB6C 6A FF push -1

00D1FB6E E8 D9FDFFFF call 00D1F94C

00D1FB73 5D pop ebp

00D1FB74 C2 1800 ret 18

修改函數(shù)開頭位置為ret1800D1FB55 8BFF mov edi, edi ;改成 ret 18

Patch Shadow_GetThreadContext
SE會調(diào)用Shadow_GetThreadContext來檢測是否存在調(diào)試軟件下的硬件斷點(diǎn)，如果有就會退出進(jìn)程。

在剛才搜索到Shadow_CreateThread的內(nèi)存段內(nèi)搜索特征代碼：

#8BFF558BECFF750CFF7508FF15????????85C00F8C??????0033C0405DC208009090909090#
搜索到的代碼：

[Asm] 純文本查看復(fù)制代碼

01888ABF 8BFF mov edi, edi

01888AC1 55 push ebp

01888AC2 8BEC mov ebp, esp

01888AC4 FF75 0C push dword ptr [ebp+C]

01888AC7 FF75 08 push dword ptr [ebp+8]

01888ACA FF15 9E088501 call dword ptr [185089E] //獲取這里地址

01888AD0 85C0 test eax, eax

01888AD2 0F8C 89B20000 jl 01893D61

01888AD8 33C0 xor eax, eax

01888ADA 40 inc eax

01888ADB 5D pop ebp

01888ADC C2 0800 retn 8

如果直接修改以上代碼會被SE檢測到，我的方法是inline hook 函數(shù)調(diào)用KiFastSystemCall之前的地址（殼另外加載了一塊內(nèi)存）

[Asm] 純文本查看復(fù)制代碼

01888ACA FF15 9E088501 call dword ptr [185089E] //獲取這里地址

//獲取到的地址標(biāo)準(zhǔn)的ntdll.ZwGetContextThread調(diào)用

0169C597 B8 55000000 mov eax, 55 //服務(wù)號

0169C59C BA 00005901 mov edx, 00390000 //這里改成我自己分配的空間

0169C5A1 FFE2 jmp edx//跳到我自己分配的空間執(zhí)行

0169C5A3 C2 0800 retn 8

//我構(gòu)造的代碼

[Asm] 純文本查看復(fù)制代碼

00390000 B8 55000000 mov eax, 55

00390005 BA 0003FE7F mov edx, 7FFE0300

0039000A FF12 call dword ptr [edx]

0039000C 50 push eax

0039000D 8B4424 0C mov eax, dword ptr [esp+C]

00390011 8038 10 cmp byte ptr [eax], 10

00390014 75 16 jnz short 0039002C

00390016 33D2 xor edx, edx

00390018 8950 04 mov dword ptr [eax+4], edx

0039001B 8950 08 mov dword ptr [eax+8], edx

0039001E 8950 0C mov dword ptr [eax+C], edx

00390021 8950 10 mov dword ptr [eax+10], edx

00390024 52 push edx

00390025 6A 06 push 6

00390027 E8 299C477C call kernel32.TlsSetValue

0039002C 58 pop eax

0039002D C2 0800 retn 8

殼總是會判斷這 TlsValue 是否等于 Dr0+Dr1+Dr2+Dr3 之 Total 值
我們在殼欲取得 Drx 的值時，將之清為 0，并設(shè) TlsValue 為 0

至于 SetTlsValue 的 Index 應(yīng)為多少才對, 很多方法可以得知.
例如斷 Shadow 的 SetTlsValue ,XP SP2 用的 Index 是 4 , XP SP3 則是 6

Hook ExecuteHandler2
      這里是重頭戲，反anti 硬件斷點(diǎn)必須從這里開始，由于殼會檢測異常信息中的DRx寄存器，所以我們必須在SE 的SEH handler被調(diào)用前，給_CONTEXT結(jié)構(gòu)中的DRx賦予之前獲得的特定值。
_CONTEXT結(jié)構(gòu)如下：
typedef struct _CONTEXT
{
  DWORD ContextFlags;
  DWORD Dr0;
  DWORD Dr1;
  DWORD Dr2;
  DWORD Dr3;
  DWORD Dr6;
  DWORD Dr7;
  FLOATING_SAVE_AREA FloatSave;
  DWORD SegGs;
  DWORD SegFs;
  DWORD SegEs;
  DWORD SegDs;
  DWORD Edi;
  DWORD Esi;
  DWORD Ebx;
  DWORD Edx;
  DWORD Ecx;
  DWORD Eax;
  DWORD Ebp;
  DWORD Eip;
  DWORD SegCs;
  DWORD EFlags;
  DWORD Esp;
  DWORD SegSs;
}CONTEXT;

typedef struct _FLOATING_SAVE_AREA
{
  ULONG ControlWord;
  ULONG StatusWord;
  ULONG TagWord;
  ULONG ErrorOffset;
  ULONG ErrorSelector;
  ULONG DataOffset;
  ULONG DataSelector;
  UCHAR RegisterArea[80];
  ULONG Cr0NpxState;
} FLOATING_SAVE_AREA, *PFLOATING_SAVE_AREA;

在NTDLL.dll的CODE段中搜索特征碼

#558BECFF750C5264FF350000000064892500000000FF7514FF7510FF750CFF75#
搜索到的代碼:

[Asm] 純文本查看復(fù)制代碼

.text:7C923282 push ebp

.text:7C923283 mov ebp, esp

.text:7C923285 push [ebp+arg_4]

.text:7C923288 push edx ; 如果定義的異常處理handle中出錯，這個handle是最終處理者

.text:7C923289 push large dword ptr fs:0

.text:7C923290 mov large fs:0, esp

.text:7C923297 push [ebp+arg_C]

.text:7C92329A push [ebp+arg_8]

.text:7C92329D push [ebp+arg_4]

.text:7C9232A0 push [ebp+arg_0]

.text:7C9232A3 mov ecx, [ebp+arg_10]

.text:7C9232A6 call ecx ; _except_handler(

.text:7C9232A6 ; struct _EXCEPTION_RECORD *ExceptionRecord,

.text:7C9232A6 ; void * EstablisherFrame,

.text:7C9232A6 ; struct _CONTEXT *ContextRecord,

.text:7C9232A6 ; void * DispatcherContext )

.text:7C9232A8 mov esp, large fs:0

.text:7C9232AF pop large dword ptr fs:0

.text:7C9232B6 mov esp, ebp

.text:7C9232B8 pop ebp

.text:7C9232B9 retn 14h

構(gòu)造inline hook 代碼

[Asm] 純文本查看復(fù)制代碼

[/font][/color]

[color=black]/[/color][color=black]/ hook executehandler2

7C99AFC0 E8 00000000 call 7C99AFC5

7C99AFC5 5B pop ebx

7C99AFC6 83EB 05 sub ebx, 5

7C99AFC9 81EB 00060000 sub ebx, 600 //減出myexceptionhandle的地址

7C99AFCF 3B8B FC0F0000 cmp ecx, dword ptr [ebx+FFC] //比較是否是SE的SEHhandler

7C99AFD5 75 02 jnz short 7C99AFD9

7C99AFD7 8BCB mov ecx, ebx //是的話就HOOK，否則放過

7C99AFD9 33DB xor ebx, ebx

7C99AFDB FFD1 call ecx

7C99AFDD 64:8B25 0000000>mov esp, dword ptr fs:[0]

7C99AFE4 64:8F05 0000000>pop dword ptr fs:[0]

7C99AFEB 8BE5 mov esp, ebp

7C99AFED 5D pop ebp

7C99AFEE C2 1400 retn 14

E8 00 00 00 00 5B 83 EB 05 81 EB 00 0600 00 3B 8B FC 0F 00 00 75 02 8B CB 33 DB FF D1 64 8B 2500 00 00 00 64 8F 05 00 00 00 00 8B E55D C2 14

[Asm] 純文本查看復(fù)制代碼

// myexceptionhandle

00401000 60 pushad

00401001 E8 00000000 call 00401006

00401006 5B pop ebx

00401007 83EB 06 sub ebx, 6

0040100A 81C3 00080000 add ebx, 800

00401010 8BFB mov edi, ebx

00401012 8B7424 24 mov esi, dword ptr [esp+24] //pExceptionRecord

00401016 B9 06000000 mov ecx, 6

0040101B F3:A5 rep movs dword ptr es:[edi], dword ptr [esi]

0040101D 8BFB mov edi, ebx

0040101F 83C7 30 add edi, 30

00401022 8B7424 2C mov esi, dword ptr [esp+2C] //pContextRecord

00401026 B9 18000000 mov ecx, 18

0040102B F3:A5 rep movs dword ptr es:[edi], dword ptr [esi]

0040102D 8B83 90000000 mov eax, dword ptr [ebx+90]

00401033 8D8B A0000000 lea ecx, dword ptr [ebx+A0]

00401039 C1E0 02 shl eax, 2

0040103C 03C8 add ecx, eax

0040103E 8B7424 24 mov esi, dword ptr [esp+24]

00401042 8B46 0C mov eax, dword ptr [esi+C]

00401045 8901 mov dword ptr [ecx], eax

00401047 FF83 90000000 inc dword ptr [ebx+90]

0040104D 8D7B 30 lea edi, dword ptr [ebx+30]

00401050 8B83 E8070000 mov eax, dword ptr [ebx+7E8] //這里考慮可以在hook setthreadcontext中賦值[/color]

[color=black]

015A0056 8947 04 mov dword ptr [edi+4], eax

015A0059 8B83 EC070000 mov eax, dword ptr [ebx+7EC]

015A005F 8947 08 mov dword ptr [edi+8], eax

015A0062 8B83 F0070000 mov eax, dword ptr [ebx+7F0]

015A0068 8947 0C mov dword ptr [edi+C], eax

015A006B 8B83 F4070000 mov eax, dword ptr [ebx+7F4]

015A0071 8947 10 mov dword ptr [edi+10], eax

015A0074 8B83 F8070000 mov eax, dword ptr [ebx+7F8]

015A007A 8947 18 mov dword ptr [edi+18], eax

015A007D 8B4424 30 mov eax, dword ptr [esp+30]

015A0081 8B4C24 28 mov ecx, dword ptr [esp+28]

015A0085 8D7B 30 lea edi, dword ptr [ebx+30]

015A0088 50 push eax

015A0089 57 push edi

015A008A 51 push ecx

015A008B 53 push ebx

015A008C 8B8B FC070000 mov ecx, dword ptr [ebx+7FC]

015A0092 33C0 xor eax, eax

015A0094 33DB xor ebx, ebx

015A0096 33FF xor edi, edi

015A0098 33F6 xor esi, esi

015A009A FFD1 call ecx

015A009C 61 popad

015A009D C3 retn

60 E8 00 00 00 00 5B 83 EB 06 81 C3 0008 00 00 8B FB 8B 74 24 24 B9 06 00 00 00 F3 A5 8B FB 83 C7 30 8B 74 24 2C B9 18 00 00 00 F3 A58B 83 90 00 00 00 8D 8B A0 00 00 00 C1 E0 02 03 C8 8B 7424 24 8B 46 0C 89 01 FF 83 90 00 00 008D 7B 30 8B 83 E8 07 00 00 89 47 04 8B 83 EC 07 00 00 8947 08 8B 83 F0 07 00 00 89 47 0C 8B 83F4 07 00 00 89 47 10 8B 83 F8 07 00 00 89 47 18 8B 44 2430 8B 4C 24 28 8D 7B 30 50 57 51 53 8B8B FC 07 00 00 33 C0 33 DB 33 FF 33 F6 FF D1 61 C3 00 00

Inline Hook ExecuteHandler2Hook在這里.text:7C9232A6 call ecx 改成Jmp to // hook executehandler2

Patch vm:ds[imm]
這個地址是前面已經(jīng)找到的，由于暫時還沒找到HASH檢測的代碼位置，所以不能直接改代碼，我的方法是，用腳本在這個位置上設(shè)置一個硬件執(zhí)行斷點(diǎn)在，當(dāng)腳本斷下后，腳本自動修改代碼跳轉(zhuǎn)到我們自己分配的空間內(nèi)執(zhí)行一段代碼，在代碼的開頭立即修復(fù)之前被腳本改掉的代碼，然后產(chǎn)生一個single step異常給系統(tǒng)，再執(zhí)行之前由于改成跳轉(zhuǎn)沒有執(zhí)行到的程序源碼后跳轉(zhuǎn)到原程序下一行繼續(xù)。
這個方法是確定是要被占用一個硬件斷點(diǎn)。
以下是我構(gòu)造的代碼：

[Asm] 純文本查看復(fù)制代碼

//跳轉(zhuǎn)來自0E8A7C8

00390100 60 pushad

00390101 BE 00023900 mov esi, 390200

00390106 BF C8A7E800 mov edi, 0E8A7C8

0039010B B9 05000000 mov ecx, 5

00390110 F3:A4 rep movs byte ptr es:[edi], byte ptr [esi] //還原ds[imm]被我修改用來跳轉(zhuǎn)的代碼

00390112 61 popad

00390113 9C pushfd \

00390114 66:810C24 0001 or word ptr [esp], 100 3條指令用來產(chǎn)生一個80000004 的 EXCEPTION_SINGLE_STEP

0039011A 9D popfd / 就是通過符號位中的單步標(biāo)記來產(chǎn)生一個異常

0039011B 8B10 mov edx, dword ptr [eax] --讀取數(shù)值，由于硬件執(zhí)行斷點(diǎn)的那行沒有執(zhí)行

0039011D - E9 A8A6AF00 jmp 喬巴.00E8A7CA --返回執(zhí)行下一行代碼

Patch Shadow_SetThreadContext
為了防止硬件斷點(diǎn)被覆蓋，這個Shadow函數(shù)必須Patch掉，當(dāng)然，如果前面的部分沒有Patch 而直接來改這個函數(shù)，SE就不會獲得需要檢測的異常，造成程序的退出。
1、搜索代碼
通過之前patch Shadow_GetThreadContext獲得的調(diào)用KiFastSystemCall前代碼區(qū)域，查找調(diào)用服務(wù)號為0D5 的調(diào)用，

修改代碼只需要把跳入KiFastSystemCall的位置直接nop掉就行

FFE2 jmp edx// 這里是跳入KiFastSystemCall，直接nop

Patch掉HASH 計算
通過上面幾步，現(xiàn)在我可以下硬件斷點(diǎn)了，能斷下來的第一件事，當(dāng)然是找HASH效驗(yàn)代碼。

在前面vm:ds[imm]的位置后面幾行下個硬件讀取斷點(diǎn)斷下之后：

[Asm] 純文本查看復(fù)制代碼

[font=Calibri][color=#000000].sedata:00E6323F push esi

.sedata:00E63240[/color][/font]

[font=Calibri][color=#000000].sedata:00E63240 loc_E63240: ; CODE XREF: .sedata:00E6324Ej

.sedata:00E63240 movzx esi, byte ptr [ecx+edx]

.sedata:00E63244 rol eax, 7 //斷在這里

.sedata:00E63247 xor eax, esi

.sedata:00E63249 inc ecx[/color][/font]

[font=Calibri][color=#000000].sedata:00E6324A cmp ecx, [esp+8]

.sedata:00E6324E jb short loc_E63240

.sedata:00E63250 pop esi

.sedata:00E63251 jmp short locret_E6325C

Run Trace 后獲得整個循環(huán)體，直接找到跳出循環(huán)的位置來到這里：

[Asm] 純文本查看復(fù)制代碼

00E63247 Main xor eax, esi ; FL=PZ, EAX=F4E889ED, ECX=00093F9F, ESI=000000D0[/font][/color]

[color=#000000][font=Calibri]00E63250 Main pop esi ; ESP=0012FEC8, ESI=F4E889ED

00E63251 Main jmp short 00E6325C

00E6325C Main retn 4 ; ESP=0012FED0 //hash 值保存在eax

重新加載幾次之后，發(fā)現(xiàn)HASH計算的參數(shù)和結(jié)果是不變的，我只能說，呵呵

檢測開始位置：0E7C91D
檢測大小：      0093F9F
返回EAX：   F4E889ED

偷懶直接patch 掉

//------ Fix HASH------

[Asm] 純文本查看復(fù)制代碼

00E63240 B8 ED89E8F4 mov eax, F4E889ED

00E63245 90 nop

00E63246 90 nop

00E63247 90 nop

00E63248 90 nop

00E63249 90 nop

00E6324A 90 nop

00E6324B 90 nop

00E6324C 90 nop

00E6324D 90 nop

00E6324E 90 nop

00E6324F 90 nop