吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 51864|回复: 587

[原创逆向视频] 简单过VMP反调试反虚拟机-插件-非插件

  [复制链接]
LYQingYe 发表于 2015-11-20 20:29 | 显示全部楼层 |阅读模式

本帖最后由 LYQingYe 于 2015-11-21 21:42 编辑

今天 刚考完数学,我就疯了,所以就做了个小教程,看到论坛些许人遇到VMP反调试,反虚拟没办法,我就做了这么个小教程,没啥技术含量。也讲解下VMP反调试某些原理,大牛飘过。 觉得对你有帮助的别忘了评分。

[OD配置]
QQ截图20151120202159.png
QQ截图20151120202209.png

StrongOD只需勾选内核模式,只是为了演示反调试原理,也带有插件演示。系统断点是为了 反TLS反调试技术。


[参考资料]


  1. typedef struct _PEB
  2. 50 {
  3. 51     BOOLEAN InheritedAddressSpace;
  4. 52     BOOLEAN ReadImageFileExecOptions;
  5. <font color="#ff0000"> 53     BOOLEAN BeingDebugged;               //被调试时候改值为 真</font>
  6. 54     BOOLEAN Spare;
  7. 55     HANDLE Mutant;
  8. 56     PVOID ImageBaseAddress;
  9. 57     PPEB_LDR_DATA LoaderData;
  10. 58     PVOID ProcessParameters; //PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
  11. 59     PVOID SubSystemData;
  12. 60     PVOID ProcessHeap;
  13. 61     PVOID FastPebLock;
  14. 62     PVOID FastPebLockRoutine; //PPEBLOCKROUTINE FastPebLockRoutine;
  15. 63     PVOID FastPebUnlockRoutine; //PPEBLOCKROUTINE FastPebUnlockRoutine;
  16. 64     ULONG EnvironmentUpdateCount;
  17. 65     PPVOID KernelCallbackTable;
  18. 66     PVOID EventLogSection;
  19. 67     PVOID EventLog;
  20. 68     DWORD Freevector; //PPEB_FREE_BLOCK Freevector;
  21. 69     ULONG TlsExpansionCounter;
  22. 70     PVOID TlsBitmap;
  23. 71     ULONG TlsBitmapBits[0x2];
  24. 72     PVOID ReadOnlySharedMemoryBase;
  25. 73     PVOID ReadOnlySharedMemoryHeap;
  26. 74     PPVOID ReadOnlyStaticServerData;
  27. 75     PVOID AnsiCodePageData;
  28. 76     PVOID OemCodePageData;
  29. 77     PVOID UnicodeCaseTableData;
  30. 78     ULONG NumberOfProcessors;
  31. 79     ULONG NtGlobalFlag;
  32. 80     BYTE Spare2[0x4];
  33. 81     LARGE_INTEGER CriticalSectionTimeout;
  34. 82     ULONG HeapSegmentReserve;
  35. 83     ULONG HeapSegmentCommit;
  36. 84     ULONG HeapDeCommitTotalFreeThreshold;
  37. 85     ULONG HeapDeCommitFreeBlockThreshold;
  38. 86     ULONG NumberOfHeaps;
  39. 87     ULONG MaximumNumberOfHeaps;
  40. 88     PPVOID *ProcessHeaps;
  41. 89     PVOID GdiSharedHandleTable;
  42. 90     PVOID ProcessStarterHelper;
  43. 91     PVOID GdiDCAttributevector;
  44. 92     PVOID LoaderLock;
  45. 93     ULONG OSMajorVersion;
  46. 94     ULONG OSMinorVersion;
  47. 95     ULONG OSBuildNumber;
  48. 96     ULONG OSPlatformId;
  49. 97     ULONG ImageSubSystem;
  50. 98     ULONG ImageSubSystemMajorVersion;
  51. 99     ULONG ImageSubSystemMinorVersion;
  52. 100     ULONG GdiHandleBuffer[0x22];
  53. 101     ULONG PostProcessInitRoutine;
  54. 102     ULONG TlsExpansionBitmap;
  55. 103     BYTE TlsExpansionBitmapBits[0x80];
  56. 104     ULONG SessionId;
  57. 105 } PEB, *PPEB;



  58. Thread Local Storage(TLS),是Windows为解决一个进程中多个线程同时访问全局变量而提供的机制。TLS可以简单地由操作系统代为完成整个互斥过程,也可以由用户自己编写控制信号量的函数。当进程中的线程访问预先制定的内存空间时,操作系统会调用系统默认的或用户自定义的信号量函数,保证数据的完整性与正确性。

  59. 而当Coder选择使用自己编写的信号量函数时,在应用程序初始化阶段,系统将要调用一个由用户编写的初始化函数以完成信号量的初始化以及其他的一些初始化工作。此调用必须在程序真正开始执行到入口点之前就完成,以保证程序执行的正确性
复制代码


[视频截图]
QQ截图20151120202550.png


下载地址回复后见:
游客,如果您要查看本帖隐藏内容请回复




点评

【By】岁月无痕”点评说:
楼主把附件一起传上来吧。  发表于 2015-11-20 20:46

评分

参与人数 66威望 +1 HB +104 THX +48 收起 理由
attackmyth + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
ams + 1
EMT + 1 + 1
lies + 1
娄胖胖 + 1
VipDongle + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
sjtkxy + 1
xvsc + 2 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
别管我了行 + 1
曦照 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
啊啊啊了 + 1
xgbnapsua + 1
消逝的过去 + 1
小小艾 + 1
Amo + 1
zyyujq + 1
鑫翼数码 + 1 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
小菜虫 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
toolsw + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
temp + 1
惜缘草 + 1
九一刘先生 + 1
fengyuan0128 + 1
阿里云以后 + 1
larf + 1
三月十六 + 1
14187588 + 1 大神加油
军工强国 + 1 + 1
playboy + 1
单曲循环 + 1 + 1
PDWORD + 1
pmm018 + 1
yaxnyc + 1 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
拿着雪糕 + 1 + 1
残恋 + 5 + 1
omglonely + 1
豆0o0豆 + 1
jliwss + 1 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
syc_song + 1 + 1 吃水不忘打井人,学习学习
方长 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
邓小小 + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
aimee400 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
honey0520 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
WAj + 5 + 1 祝学破解论坛全体成员2016年开心每一天!
Heaven丶衫 + 3 + 1 评分=感恩!简单却充满爱!感谢您的作品!
womeikong + 3 + 1 学破解论坛1周年了,感谢大家的付出与关注。学破解论坛助你呼风唤雨!!!
rgbwcwmd + 3 + 1 学破解论坛1周年了,感谢大家的付出与关注。学破解论坛助你呼风唤雨!!!
CheriSh丶 + 6 + 1 学破解论坛1周年了,感谢大家的付出与关注。学破解论坛助你呼风唤雨!!!
梦游 + 1 悬赏杀手主题,额外增加10HB,感谢热心解答!
GodIand + 1 评分=感恩!简单却充满爱!感谢您的作品!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Dalivk 发表于 2015-11-20 20:40 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
【By】岁月无痕 发表于 2015-11-20 20:49 | 显示全部楼层

虽然看不懂,还是支持楼主。继续加油
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| LYQingYe 发表于 2015-11-20 20:52 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
s5688 发表于 2015-11-20 21:17 | 显示全部楼层

这是什么原理啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
StoRm-blacK 发表于 2015-11-20 21:47 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
残忍的接口 发表于 2015-11-20 21:53 | 显示全部楼层

好留笔的东西收藏了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| LYQingYe 发表于 2015-11-20 21:57 | 显示全部楼层

残忍的接口 发表于 2015-11-20 21:53
好留笔的东西收藏了

别忘评分。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| LYQingYe 发表于 2015-11-20 22:17 | 显示全部楼层

残忍的接口 发表于 2015-11-20 21:53
好留笔的东西收藏了

回复可见的 下载地址
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
元首 发表于 2015-11-20 22:17 | 显示全部楼层

这个是什么东西啊!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表