欢迎有空光临小站:http://go1.163.com/~st0ne/
『技术研习』 『以前更新』
--------------------------------------------------------------------------------
Crunch v1.1中的一段有趣的反跟踪代码
【声明】
我写文章以交流为主,希望大家在转载时能保持文章的完整性。
【前言】
这是在对Crunch.EXE脱壳时发现的一点有趣的东西,就写了出来。其中利用一种特殊的方法---修改LDT表来进入Ring0级,然后在Ring0级检测Test_Debug_Installed标志来判断当前是否有调试器跟踪,这种反跟踪方法不用区别调试器的类型。SoftICE、TRW2000、天意都可以检测到,怎么样?有点意思吧。不过如果你要对付这种外壳加密软件的话,就要小心一点了,别被当得死死的哦。:-)
作者: ljttt
写作日期: 2000-10-02
1、前面的大部分分析过程同《对Crunch v1.1加壳程序的手动脱壳及反跟踪代码的一点分析》一文中所述,这里就不多说了。
2、跟踪到如下代码处,我们的目标开始了!
015F:0066C266 53
PUSH EBX
015F:0066C267 E8C9100000 CALL
0066D335
015F:0066C26C 5B
POP EBX
015F:0066C26D 899D683C0000 MOV
[EBP+00003C68],EBX
015F:0066C273 BB76060000 MOV
EBX,00000676
015F:0066C278 03DD
ADD EBX,EBP
015F:0066C27A 899D643C0000 MOV
[EBP+00003C64],EBX
015F:0066C280 BB050A0000 MOV
EBX,00000A05
015F:0066C285 03DD
ADD EBX,EBP
015F:0066C287 FFD3
CALL EBX
<--内有反跟踪代码
015F:0066C289 90
NOP
015F:0066C28A 60
PUSHAD
015F:0066C28B BB85230000 MOV
EBX,00002385
015F:0066C290 03DD
ADD EBX,EBP
015F:0066C292 53
PUSH EBX
015F:0066C293 FF950A210000 CALL
[EBP+0000210A]
015F:0066C299 8985F6160000 MOV
[EBP+000016F6],EAX
3、在 CALL EBX 处按F8键进入看看
015F:0066C9FF FFA56C3C0000 JMP
[EBP+00003C6C]
015F:0066CA05 8CD8
MOV AX,DS
015F:0066CA07 A804
TEST AL,04
015F:0066CA09 740F
JZ 0066CA1A
015F:0066CA0B 8DB51B0A0000 LEA
ESI,[EBP+00000A1B]
<--ESI=0066CA1B(这是检测程序入口的地址
015F:0066CA11 BB460A0000 MOV
EBX,00000A46
015F:0066CA16 03DD
ADD EBX,EBP
<--EBX
015F:0066CA18 FFD3
CALL EBX
<--还要继续深入
015F:0066CA1A C3
RET
4、在 CALL EBX 处我们继续按F8键进入看看,这样我们就到了关键处
015F:0066CA46 60
PUSHAD
015F:0066CA47 53
PUSH EBX
<--这里实际上是为了留出空间保存GDTR的内容
015F:0066CA48 0F014424FE SGDT
FWORD PTR [ESP-02] <--获取GDTR的内容(6个字节)
015F:0066CA4D 5B
POP EBX
<--EBX=GDTR的4个字节的内容,实际上就是GDT的基地址
015F:0066CA4E 33C0
XOR EAX,EAX
<--EAX=0
015F:0066CA50 0F00C0
SLDT AX
<--获取LDT表的选择器到 AX 中
015F:0066CA53 24F8
AND AL,F8
<--限定AL大小
015F:0066CA55 03D8
ADD EBX,EAX
<--获取LDT表在GDT表中的偏移地址
015F:0066CA57 8A6B07
MOV CH,[EBX+07]
<--获取第8个字节
015F:0066CA5A 8A4B04
MOV CL,[EBX+04]
<--获取第5个字节
015F:0066CA5D C1E110
SHL ECX,10
<--移动到高位
015F:0066CA60 668B4B02 MOV
CX,[EBX+02] <--获取第3-4两个字节,此时ECX组合成为LDT表的基地址
015F:0066CA64 8D7908
LEA EDI,[ECX+08]
<--获取LDT表第9个字节偏移地址指针
015F:0066CA67 FC
CLD
015F:0066CA68 8BC6
MOV EAX,ESI
<--EAX=ESI=0066CA1B
015F:0066CA6A 66AB
STOSW
<--保存两个字节,即CA1B到EDI指向的地址
015F:0066CA6C B8280000EC MOV
EAX,EC000028 <--EAX=EC000028
015F:0066CA71 AB
STOSD
<--保存四个字节,即EC000028到EDI+2指向的地址
015F:0066CA72 0FA4F010 SHLD
EAX,ESI,10
<--把ESI=0066CA1B进行移位,得到0066
015F:0066CA76 66AB
STOSW
<--保存两个字节,即0066到EDI+6指向的地址
015F:0066CA78 61
POPAD
<--以上这些指令为了形成LDTR,使之指向0066CA1B,为以下的调用作准备
015F:0066CA79 9A000000000F00 CALL
000F:00000000 <--该调用实际上指向的015F:0066CA1B处
015F:0066CA80 C3
RET
5、我们在 CALL 000F:00000000 处按F8键继续跟踪分析
015F:0066CA1B 60
PUSHAD
015F:0066CA1C 33C0
XOR EAX,EAX
015F:0066CA1E BF3B0A0000 MOV
EDI,00000A3B
015F:0066CA23 03FD
ADD EDI,EBP
015F:0066CA25 CD20
INT 20 VXDCall Get_DDB
<--判断DDB
015F:0066CA2B 7502
JNZ 0066CA2F
<--关键了!
015F:0066CA2D CD19
INT 19
<--超度
015F:0066CA2F CD20
INT 20 VXDCall Test_Debug_Installed <--判断是否安装了调试环境
015F:0066CA35 7402
JZ 0066CA39
<--关键了!
015F:0066CA37 CD19
INT 19
015F:0066CA39 61
POPAD
015F:0066CA3A CB
RETF
【后记】
这种检测跟踪的方法比较新鲜(对我来说^_^)。我想这种方法可以检测调试环境,比单纯的检测SoftICE跟踪来得更有意思。
--------------------------------------------------------------------------------
《加密及解密技术交流站》由 ljtt 制作 版权所有
©2000 -2001 All Rights Reserved
转载本站所有文章请注明出处,尊重作者的劳动也是尊重你自己。让我们一同撑起绿色的天空!
- 标 题:Crunch v1.1中的一段有趣的反跟踪代码 (5千字)
- 作 者:ljtt
- 时 间:2001-4-8 11:38:49
- 链 接:http://bbs.pediy.com