ollydbg

内存保护机制及绕过方案——通过覆盖虚函数表绕过/GS机制

邮差的信 提交于 2021-02-02 15:35:18
1 GS内存保护机制 1.1 GS工作原理 栈中的守护天使--GS,亦称作Stack Canary / Cookie,从VS2003起开始启用(也就说,GS机制是由编译器决定的,跟操作系统无关)。 GS机制分三个步骤:计算随机种子 --> canary写入栈帧 --> GS校验。 [1]程序启动时,读取 .data 的第一个 DWORD 作为基数,然后和各种元素(时间戳,进程ID,线程ID,计数器等等)进行XOR加密 [2]然后将加密后的种子再次写入 .data 的第一个 DWORD [3]函数在执行前,把加密后的种子取出,与当前 esp 进行异或计算,结果存入EBP的前面 [4]函数主体正常执行。 [5]函数返回前(retn前一点),把cookie取出与esp异或计算后,调用security_check_cookie函数进行检查,与.data节里的种子进行比较,如果校验通过,则返回原函数继续执行;如果校验失败,则程序终止。 图解: 1.2 变量重排技术 如图1.1所示,在缓冲区域cookie之间还有一些空隙,这是因为在旧版本(VS2005之前)的编译器里,局部变量是随机摆放的(指针,int,字符串位置随机) 所以这里就还存在一丝安全隐患->_->那就是Buff可能在不压过Cookie的情况下覆盖一些局部变量,所以,后期的编译器就推出了-- 变量重排技术。 如图1-2所示 图 1

脱upx壳--初试--单步追踪

為{幸葍}努か 提交于 2021-01-18 06:32:10
这里的练习题目是 reversing.kr 的 Easy Crack 我自己用upx加壳工具给它加了个壳,由于原文件逻辑简单,所以用它来练练手 之后用到的工具是IDA和Ollydbg <br> 0x00 在正式调试之前需要知道的一些操作 1.单步追踪法 向下调试 一般用的是 F8 (单步步过) 2.遇到 红色 的向上箭头说明运行到此处之后会 向上跳转 ,对于单步跟踪法来说是 不能 让它发生的,所以点击下一行, F4 运行到该处。 3.遇到 灰色箭头 :灰色说明它没有起作用,直接 F8 就行,并 不会向上跳转 。 4.如果看到 popad 指令,说明在下面不远处会有一个 大跳转 (跳到另一个区段) ,即程序即将运行到 OEP (真正的程序入口点)。 5.在快到popad的时候可能程序会跑飞,如下图的第一个箭头所指 0040BAC0 FF96 A8B00000 call dword ptr ds:[esi+0xB0A8] 那么我们可以直接F4到 0x400AC6 。 0x01 脱壳 *有了上述的了解之后,经过耐心的调试,程序来到了OEP。 注意看,jump的 目标地址 是 0x401188 , 而当前程序所处的地址是 0x40BB03 , 跨度如此之大,说明我们离成功不远。 *F8单步运行,到了最后一步。 *在0x401188处右键 -> 用Ollydump脱壳调试进程,点脱壳。

[系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析--病毒释放过程(下)

拈花ヽ惹草 提交于 2021-01-09 09:27:19
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文主要学习姜晔老师视频,结合作者逆向经验进行总结,详细讲解了熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 上一篇文章讲解了

[系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理

拈花ヽ惹草 提交于 2021-01-08 10:46:47
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析

[系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理

|▌冷眼眸甩不掉的悲伤 提交于 2021-01-08 08:54:58
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢! IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析

[系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏

假装没事ソ 提交于 2020-12-24 07:49:16
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文普及了OllyDbg的基础用法和CrakeMe案例;这篇文章将详细讲解OllyDbg和Cheat Engine工具逆向分析用法,完成植物大战僵尸的游戏辅助器,包括修改阳光值和自动拾取阳光两个功能,希望对入门的同学有帮助。 话不多说,让我们开始新的征程吧!您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助,作者的目的是与安全人共同进步,加油~ 文章目录 一.VS内存地址查看 二.Cheat Engine逆向修改阳光值 三.OllyDbg逆向自动拾取阳光 四.总结及学习推荐 作者的github资源: 系统安全: https:/

网络安全自学篇导航

老子叫甜甜 提交于 2020-12-17 08:14:47
网络安全自学篇(一)| 入门笔记之看雪Web安全学习及异或解密示例 网络安全自学篇(二)| Chrome浏览器保留密码功能渗透解析及登录加密入门笔记 网络安全自学篇(三)| Burp Suite工具安装配置、Proxy基础用法及暴库示例 网络安全自学篇(四)| 实验吧CTF实战之WEB渗透和隐写术解密 网络安全自学篇(五)| IDA Pro反汇编工具初识及逆向工程解密实战 网络安全自学篇(六)| OllyDbg动态分析工具基础用法及Crakeme逆向破解 网络安全自学篇(七)| 快手视频下载之Chrome浏览器Network分析及Python爬虫探讨 网络安全自学篇(八)| Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具 社会工程学之基础概念、IP获取、IP物理定位、文件属性社会工程学之基础概念、IP获取、IP物理定位、文件属性 网络安全自学篇(十)| 论文之基于机器学习算法的主机恶意代码 网络安全自学篇(十一)| 虚拟机VMware+Kali安装入门及Sqlmap基本用法 网络安全自学篇(十二)| Wireshark安装入门及抓取网站用户名密码(一) 网络安全自学篇(十三)| Wireshark抓包原理(ARP劫持、MAC泛洪)及数据流追踪和图像抓取(二) 还在更新中,收藏导航观看更佳 原作者博客;https: //blog.csdn.net

[系统安全] 一.什么是逆向分析、逆向分析基础及经典扫雷游戏逆向

半城伤御伤魂 提交于 2020-12-12 15:47:15
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。换专业确实挺难的,逆向分析也是块硬骨头,但我也试试,看看自己未来四年究竟能将它学到什么程度,漫漫长征路,偏向虎山行。享受过程,一起加油~ 系统安全系列主要包括恶意样本分析、病毒逆向分析、系统安全攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。第一篇文章先带领大家学习什么是逆向分析,然后详细讲解逆向分析的典型应用,接着通过OllyDbg工具逆向分析经典的游戏扫雷,再通过Cheat Engine工具复制内存地址获取,实现一个自动扫雷程序。 该篇文章也是作者学习科锐钱林松老师在华中科技大学的分享视频,这里非常推荐大家去看看。话不多说,让我们开始新的征程吧!您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助,作者的目的是与安全人共同进步,加油~ 文章目录 一.什么是逆向分析 1.逆向工程 2.逆向分析的典型应用 二.扫雷游戏逆向分析 1.游戏介绍 2.OllyDbg动态分析

勒索病毒分析

狂风中的少年 提交于 2020-11-30 23:23:12
​转载自CSDN-初识逆向大神 本文链接: https://blog.csdn.net/w_g3366/article/details/100590112 文章目录 勒索病毒分析报告 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 1.4 样本行为概述 2.具体行为分析 2.1 主要行为 2.2 提取恶意代码 2.3 恶意代码分析 3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家族:勒索病毒 大小: 327680 bytes 修改时间: 2017年4月13日, 15:30:22 MD5值: DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值: 863F5956863D793298D92610377B705F85FA42B5 CRC32:1386DD7A 1.2 测试环境及工具 测试环境:虚拟机Windows 7 32位 测试工具:火绒剑、PCHunter、PEiD、OllyDbg、IDA、LoadPE 1.3 分析目标 分析病毒具体行为,找到病毒行为的具体实现代码,了解病毒实现原理,评估病毒的威胁程度。 1.4 样本行为概述 是一个勒索软件,样本运行后的行为:

oCam v515.0去广告方法和Reverse分析

╄→гoц情女王★ 提交于 2020-11-09 07:21:45
oCam为Delphi开发,未注册版的主界面下方会有广告,关闭主界面后会出现一个弹窗,这个弹窗要等待3秒才能关闭,关闭弹窗后又会在默认浏览器中打开他们的网站。如果直接用OllyDbg或者x32dbg打开oCam.exe,然后用F8单步执行,若不加任何断点,要不了几步就会提示“已停止,调试结束”,这是oCam刻意加入的反调试技术,可能和812C75处的CreateMutexW有关,我没有深入研究,采取另外一种方法绕过:直接启动oCam,然后用OllyDbg或x32dbg去附加,(使用x32dbg时要注意勾选 调试>高级>隐藏调试器(PEB),否则容易出现异常)。附加后,点击菜单>注册,电子邮箱和序列号随便填,比如都填1,点击“确定”会报“无效的邮件地址”,把邮箱地址改为1@x.com,再点“确定”就会报“无效用户名或注册码”,在报错的同时也会有系统提示音。这个提示音就是PoJie的起点。使用bp MessageBeep命令下断点,点击“确定”后观察栈的内容,可以找到来自79F8A3的调用。79F8A3下方不远处(79F8B2)又有对CreateMessageDialog的调用,说明79F8A3和79F8B2所在的函数79F838就是用来带提示音报错的,在IDA或x32dbg中查找对79F838的引用,发现只有两处引用,其中一处引用是_TfrmRegister_btnOKClick