一个字符串禁止Ollydbg调试

前言

                               
登录/注册后可看大图

好，成功把你骗进来来了，其实我是个标题党别往下看了（猫猫头保命????~）

                               
登录/注册后可看大图

正文

                               
登录/注册后可看大图

OllyDebug久远的历史与现状

                               
登录/注册后可看大图

OD作为一款Ring3级的调试器，他的地位与名声想必大家都有所耳闻，在前些年它还是最流行的调试工具(为什么说前些年？当然是因为开源的X64dbg的崛起)......而今虽然逐渐败落，但是使用人数依旧很多，这得当然得益于各种强大的OD插件和各位大牛二改版本，使得OD强行续命残喘至今，但是因为其本身作为一款`闭源`软件，又加之`年久失修无人维护`，存在在很多致命的缺点，比如不支持64位应用调试（据说作者有开发OD2.0但是....有兴趣可以自行搜索），又比如今天的主题，一个`字符干掉OllyDebug`.

                               
登录/注册后可看大图

从一种老掉牙过时的反调试手段说起

                               
登录/注册后可看大图

相信如果有学习反调试的朋友应该都有见过或则听说过一种针对OllyDebug。
名为`OD漏洞攻击`的反调试方法。
演示代码如下：


原理如下：


值得注意的是，目前多数版本的OD已经将此漏洞修复（感恩前面说的强大的插件）

                               
登录/注册后可看大图

%s%s%s的死灰复燃(活了但没完全活)

                               
登录/注册后可看大图

是的，很遗憾，如前面所说，通过OutputDebugString输出一下%s%s%s就可以让OD崩溃的漏洞依旧被修复了，但是%s%s%s好像还能抢救一下，这里也不卖关子，其实只是一个很简单的操作，将任意文件的文件名`重命名`为`%s%s%s.exe`即可

经过测试，隔壁论坛的`吾爱破解专用版Ollydbg`完败，如图所示：

当然，也并不是所有的OD都可以打败，例如我跪舔的一位技术大牛表哥集成的一款二改OD就可以完美的避免这个问题（默认配置就可以过VMP反调试哦~当然我只白嫖到3.6现在都好像出VMP3.8了不知道反调试有没有改进）。

                               
登录/注册后可看大图

更为牛逼的字符串

                               
登录/注册后可看大图

好 本贴结束????

                               
登录/注册后可看大图

可惜，`%s%s%s`的确很强大，但是在各大OD插件的魔法攻击下，它最终还是没活过来（除非你的对手用的是吾爱破解专用OD~，继续猫猫头保命????）。
但是这也引发了我们一个思考，既然都是字符串，那么是否还存着其他的更为强大的字符串呢？答案是肯定的！

忆想当年，谁不是一个非主流的中二少年（bushi~）你多多少少也用过几个非主流的网名吧。比如`じ浅夏?初雨`又比如`?碎花小裙子?`,总有一个你用过吧，那么我们给软件穿上`重命名``?碎花小裙子?`呢？


如图所示，强大到直接无视VMP反调试，碾死%s%s%s的OD竟然败在了碎花小裙子下。而且更为牛逼，直接显示无法定位文件，OD连加载文件都加载不了。

wow o(=?ェ?=)m（竟然不支持gif 还我猫猫） （←群里抓来的猫）碎花小裙子牛逼，还等什么？赶紧去给你的软件穿上碎花小裙子！

                               
登录/注册后可看大图

小菜的测试结果

                               
登录/注册后可看大图

好，言归正传，其实真正牛逼的并不是什么碎花小裙子，而是其中的特殊字符`?``?`

这就是一个字符串的力量，这里可以简单的说一下小菜（我）的测试结果，碎花小裙子通杀了我收集的包括吾爱破解专用OD在内的17款OD，均无法直接定位文件，也就是说如果你想把文件直接拖到OD里调试，那不好意思，没门。

但是，遗憾的是，部分OD依旧可以通过附加功能，在进程列表中找到进程，然后测试发现可以正常进行附加调试，当然也有部分OD在进程列表中直接找不到含有特殊字符的进程，变相的实现了进程隐藏，但是具体原因不明，推测是某些插件起了作用。

当然，对于先进的X64dbg而言，自然不存在这种BUG，毕竟OD是年龄摆在那里。但是，也不是说绝对通杀所有的OD，我的测试结果只能证明，可以通杀我收集到的17款。

那么有字符串可以干掉X64dbg吗？

我的答案是，有，

为什么？因为，之前的群里聊到本主题相关内容时有大牛演示了。

那么这个字符是什么？

我也想知道，但是被打马赛克了，我甚至百度了有没有马赛克解码工具。（真的没什么其他用途！）

                               
登录/注册后可看大图

引发的反思与闲谈

                               
登录/注册后可看大图

经此一文，大家应该初识了字符串的神奇威力，其实发生在我们身边因为字符串导致的严重安全隐患还是很常见的，例如在QQ群流行的各种卡屏代码，尤其是对手机端造成的影响甚至可以达到让你必须清空QQ数据才能重新正常打开QQ（别问我怎么知道的，谢谢），又例如21年Win10爆出的严重漏洞，一段字符串`\：$i30：$`格式化你硬盘,再例如苹果IOS也发生过多起因为字符串导致的严重BUG，比如特殊字符串WIFI名称直接让手机断网，又例如某应用超长字符串导致手机卡死重启。

所以，真的不要小看一个小心的字符串，有时候会给你带来意想不到的的后果。

好了，到这里，这个水贴是真的结束了，就技术含量上来说，毫无技术含量，就实用性上来说，也几乎为0，毕竟虽然一个特殊字符串可以保护你的软件不会被OD加载，但是应该不会有人不会重命名吧，不会吧，不会吧，不会吧。

最后的最后，虽然说，应该不会有那种无聊的人在下面吐槽“没什么用”“垃圾”之类的攻击性言论，但咱们还是有言在先，如果真的觉得没用，对你帮助的意义不大，那么请如前言中所说，我是个标题党，你可以直接关贴。因为小菜身体不大好，受不了气，不能激动，请饶我狗命一次。

                               
登录/注册后可看大图

吐槽：论坛没有和隔壁一样的MD插件难受

笑不活了 因为和隔壁论坛格式不一样不断编辑 恒大连续得审核三次

看到标题就进来看看了

我以前写过一个cm，其中有一项反调试技术就是判断文件名是否为我自己起的带emoji的名字，并且我编程的时候把所有变量名资源名都起成emoji，再拿虚拟盒子打包一下，结果就是各路大神集体沉默。我自己用ida、x64dbg、又或者我编了32位和64位版本的cm，均无法正常调试。唯独附加上去可以

laoer2009 发表于 2023-3-27 13:35
我以前写过一个cm，其中有一项反调试技术就是判断文件名是否为我自己起的带emoji的名字，并且我编程的时候 ...

我的个人主题还有这个帖子，至今未被拿下。

咖啡茶 发表于 2023-3-26 22:23
笑不活了 因为和隔壁论坛格式不一样不断编辑 恒大连续得审核三次

没关系，有些字符是需要过滤的，所以进入审核了。

原来还有这个漏洞 ！还好不报错 可重载

Shark恒 发表于 2023-3-27 14:23
没关系，有些字符是需要过滤的，所以进入审核了。

论坛能加个MD插件吗，MD的格式挺好看的

0×Ret 发表于 2023-3-27 14:30
原来还有这个漏洞 ！还好不报错 可重载

碎花小裙子试了吗

咖啡茶 发表于 2023-3-27 15:00
碎花小裙子试了吗

这个重命名不了呀名字不能搞符号