学破解论坛

 ★找回密码★
 ★免费注册★

QQ登录

绑定QQ,免密登录

查看: 13906|回复: 214

[原创逆向图文] 用钩子突破内存保护

  [复制链接] |关注本帖

  离线 

签到天数: 223

该用户今日未签到




继上篇《用钩子实现内存数据读写修改》的文章,如果有爱实践的同学可能会发现这对VMP保护的程序没法进行修改与读写!
其实是因为VMP的内存保护对程序的代码块内存的属性改变成了不可写,所以才会写就会崩溃。
Read_exe.PNG
可能有人会说为什么OD可以读写修改,我个人认为是因为OD使用了VirtualProtectEx跨进程对程序内存属性修改。
当然,我们也可以通过外部程序调用这个函数修改内存属性,但是我们不要这样,要在当前进程下修改呢。
调用VirtualProtect或者VirtualProtectEx修改?不行的,VMP在解码后会对ZwProtectVirutalMemory这个内核函数进行hook,不是驱动层,是应用层。ntdll下的函数!
所以当前进程是没法调用这两个函数进行属性的修改的。可能会有人说越过钩子调用呗,我拒绝的,整理参数太麻烦了。
根据分析,vmp的内存保护在程序解码前调用一次VirtualProtect函数对程序代码块进行内存的可读可写可执行修改。
图中可以看到未解码前的调用和内存块数据
VirutalProtect_a.PNG
解码后调用一次对程序代码块进行内存的可读可执行修改。
图中可以看到已经解码了的代码和内存属性被修改为可读可执行!
VirutalProtect_b.PNG
这也是用这个函数对vmp进行脱壳的由来。

介绍完毕,我们就上代码:
钩子的代码:
游客,当前主题有一部分内容已经设置隐藏,需要回复才能查看全部内容。

hook_VirtualProtect效果图_a.PNG
可见,被vmp内存保护的代码段已经变成了可读可写可执行!


点评

@要开心 代码没有源码 看不清啊 哥 求源码  发表于 2018-3-1 08:29

评分


每日系统赠送“免费评分”
评分不仅是免费的,还能提升你自己账号的活跃度。既感谢了楼主,又提升了自己。可谓一箭双雕!何乐而不为?评分安排上!

参与人数 19威望 +1 HB +57 THX +16 收起 理由
CC.派大星 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
town + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
52099 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
2267234425 + 1 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
情人节免费 + 1 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
方长 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
friendy + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
lomoace + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
a1044439143 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
hackxxx + 5 + 1 感谢大牛
耶稣 + 5 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
1151425395 + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
jiqigouer + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
DDK4282 + 3 + 1 [快捷评语] - 吃水不忘打井人!
peter_king88 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
轮回v + 6 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
keyman_jie + 1 + 1 感谢大牛的无私奉献
Shark恒 + 1 + 20 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
李沉舟 + 6 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!

查看评分详情

学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 377

该用户今日未签到




沙发。。哈哈哈哈,我终于比恒叔快了。

点评

我擦,你竟然如此迅速。。。感谢楼主分享!  详情 回复 发表于 2018-2-28 21:42
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 377

该用户今日未签到




本帖最后由 李沉舟 于 2018-2-28 22:53 编辑

我修正我这段话。
writeprocessmemory写其它进程内存是不用看属性的,只要hprocess。debug权限牛逼就在于open时无视描述符。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 223

该用户今日未签到




李沉舟 发表于 2018-2-28 21:24
od可以改是因为带了debug权限,直接无视属性。

debug为所欲为?那我也在dll里提升到debug权限是否可行啊

点评

此贴仅作者可见。什么鬼?大汗。  发表于 2018-2-28 21:34
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 223

该用户今日未签到




李沉舟 发表于 2018-2-28 21:24
od可以改是因为带了debug权限,直接无视属性。

debug为所欲为?那我也在dll里提升到debug权限是否可行啊
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 377

该用户今日未签到




本帖最后由 李沉舟 于 2018-2-28 21:40 编辑
要开心 发表于 2018-2-28 21:36
debug为所欲为?那我也在dll里提升到debug权限是否可行啊

不对。不好说,试验看看。
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  在线 

签到天数: 1525

今日第132个签到




李沉舟 发表于 2018-2-28 21:22
沙发。。哈哈哈哈,我终于比恒叔快了。

我擦,你竟然如此迅速。。。

感谢楼主分享!
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 23

该用户今日未签到




支持一下!!
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
头像被屏蔽

  离线 

签到天数: 218

该用户今日未签到




提示: 作者被禁止或删除 内容自动屏蔽
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!

  离线 

签到天数: 214

该用户今日未签到




说的好 我使用补丁
学破解论坛关注PC软件安全与移动软件安全领域。学习破解方法,使软件开发者能够更好的弥补软件缺陷,修复软件漏洞,提升软件安全,将损失降为最低。大量的软件加密解密教程,使软件开发者与代码逆向分析爱好者受益颇多,因此被连连称赞。保护开发者的利益与版权是我们持之以恒的动力!学破解论坛将竭尽全力为软件安全领域献出微薄之力!
您需要登录后才可以回帖 登录 | 立即注册

获得更多积分,阅读本版加分规则

免责声明

本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者其他任何非法用途!否则,一切后果请用户自负!如有侵权请使用邮件或微信联系站长处理。

站长邮箱:SharkHeng@iCloud.com


站长微信号:SharkHeng|站长邮箱:SharkHeng@iCloud.com|鲨鱼逆向|无图版|手机版|小黑屋|FAQ|VIP破解教程|学破解论坛 ( 京公网安备 11011502002737号 | 京ICP备20003498号-3 )

GMT+8, 2021-4-21 10:29

快速回复 返回顶部 返回列表