吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 34482|回复: 280

[原创逆向图文] 用钩子突破内存保护

  [复制链接]
难寻。。 发表于 2018-2-28 20:48 | 显示全部楼层 |阅读模式

继上篇《用钩子实现内存数据读写修改》的文章,如果有爱实践的同学可能会发现这对VMP保护的程序没法进行修改与读写!
其实是因为VMP的内存保护对程序的代码块内存的属性改变成了不可写,所以才会写就会崩溃。
Read_exe.PNG
可能有人会说为什么OD可以读写修改,我个人认为是因为OD使用了VirtualProtectEx跨进程对程序内存属性修改。
当然,我们也可以通过外部程序调用这个函数修改内存属性,但是我们不要这样,要在当前进程下修改呢。
调用VirtualProtect或者VirtualProtectEx修改?不行的,VMP在解码后会对ZwProtectVirutalMemory这个内核函数进行hook,不是驱动层,是应用层。ntdll下的函数!
所以当前进程是没法调用这两个函数进行属性的修改的。可能会有人说越过钩子调用呗,我拒绝的,整理参数太麻烦了。
根据分析,vmp的内存保护在程序解码前调用一次VirtualProtect函数对程序代码块进行内存的可读可写可执行修改。
图中可以看到未解码前的调用和内存块数据
VirutalProtect_a.PNG
解码后调用一次对程序代码块进行内存的可读可执行修改。
图中可以看到已经解码了的代码和内存属性被修改为可读可执行!
VirutalProtect_b.PNG
这也是用这个函数对vmp进行脱壳的由来。

介绍完毕,我们就上代码:
钩子的代码:
游客,如果您要查看本帖隐藏内容请回复

hook_VirtualProtect效果图_a.PNG
可见,被vmp内存保护的代码段已经变成了可读可写可执行!


点评

2477925836”点评说:
@要开心 代码没有源码 看不清啊 哥 求源码  发表于 2018-3-1 08:29

评分

参与人数 45威望 +1 HB +78 THX +29 收起 理由
ACZR + 1
Jawon + 1
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
后学真 + 1
sjtkxy + 1 + 1
一路走来不容易 + 1
冷亦飞 + 1
深山老尸 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
l278785481 + 1
风里去 + 1
车太震 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
temp + 1
zyyujq + 1
我是好人 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
thunderiser + 1
lies + 1
XiaoWeiSec + 1
消逝的过去 + 2 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
firstcmm + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
kalove + 1
sm5186 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
kll545012 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
1300841139 + 1
moranyuyan + 1 [快捷评语]--2021年,我们爱0爱1
上帝的恩赐 + 1 [快捷评语]--2021年,我们爱0爱1
白云点缀的蓝 + 6 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
CC.派大星 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
town + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
52099 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
2267234425 + 1 + 1 [快捷评语]--评分=感恩!简单却充满爱!感谢您的作品!
情人节免费 + 1 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
方长 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
friendy + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
lomoace + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
a1044439143 + 1 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
JuStkK + 5 + 1 感谢大牛
耶稣 + 5 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
1151425395 + 1 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
jiqigouer + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
DDK4282 + 3 + 1 [快捷评语] - 吃水不忘打井人!
peter_king88 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
轮回v + 6 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
keyman_jie + 1 + 1 感谢大牛的无私奉献
Shark恒 + 1 + 20 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!
李沉舟 + 6 + 1 [快捷评语] - 2018,狗年发发发,狗年旺旺旺!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
小新 发表于 2018-3-1 00:02 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
李沉舟 发表于 2018-2-28 21:22 | 显示全部楼层

沙发。。哈哈哈哈,我终于比恒叔快了。

点评

Shark恒”点评说:
我擦,你竟然如此迅速。。。感谢楼主分享!  详情 回复 发表于 2018-2-28 21:42
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
李沉舟 发表于 2018-2-28 21:24 | 显示全部楼层

本帖最后由 李沉舟 于 2018-2-28 22:53 编辑

我修正我这段话。
writeprocessmemory写其它进程内存是不用看属性的,只要hprocess。debug权限牛逼就在于open时无视描述符。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 难寻。。 发表于 2018-2-28 21:34 | 显示全部楼层

李沉舟 发表于 2018-2-28 21:24
od可以改是因为带了debug权限,直接无视属性。

debug为所欲为?那我也在dll里提升到debug权限是否可行啊

点评

李沉舟”点评说:
此贴仅作者可见。什么鬼?大汗。  发表于 2018-2-28 21:34
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 难寻。。 发表于 2018-2-28 21:36 | 显示全部楼层

李沉舟 发表于 2018-2-28 21:24
od可以改是因为带了debug权限,直接无视属性。

debug为所欲为?那我也在dll里提升到debug权限是否可行啊
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
李沉舟 发表于 2018-2-28 21:38 | 显示全部楼层

本帖最后由 李沉舟 于 2018-2-28 21:40 编辑
要开心 发表于 2018-2-28 21:36
debug为所欲为?那我也在dll里提升到debug权限是否可行啊

不对。不好说,试验看看。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2018-2-28 21:42 | 显示全部楼层

李沉舟 发表于 2018-2-28 21:22
沙发。。哈哈哈哈,我终于比恒叔快了。

我擦,你竟然如此迅速。。。

感谢楼主分享!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
3513354434 发表于 2018-2-28 21:55 | 显示全部楼层

支持一下!!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
结跼~誰續寫 发表于 2018-2-28 22:05 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
狐白小刺客 发表于 2018-2-28 22:29 | 显示全部楼层

说的好 我使用补丁
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层 10层
赞帖  
2层  
3层  
4层  
5层  
6层  
7层  
8层  
9层  

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表