Win32汇编学习笔记10.OD插件

原创 于 2025-01-12 21:59:42 发布 · 728 阅读 · 23 ·
CC 4.0 BY-SA版权
文章标签:

#汇编 #学习 #笔记

Win32汇编学习笔记10.OD插件-C/C++基础-断点社区-专业的老牌游戏安全技术交流社区 - BpSend.net

筛选器异常插件

被调试程序: 📎TestUnh.zip

我们用OD条试试发现,无法断下 筛选器异常

异常产生之后 异常首先会给调试器 调试器不处理就会给 SEH , SEH 不处理的话有又给调试器, 调试器不处理的话就会给筛选器 , 筛选器不处理的就会给操作系统,直接退进程

这里面是2次的异常派发流程 第一次 是 到 给SHE 之后属于第二次 派发流程

第二次派发是一个分支,会判断是否有调试器,有的话就给调试器,没有的话直接给筛选器,因此系统会检查软件是否处于调试状态 即检查调试端口是否存在,如果存在,异常就会给调试器,否则给筛选器,所以我们在用 OD 调试筛选器异常时,是不可能再筛选器这下断点的,因此系统检测到了调试器,异常就不会给筛选器

因此我们可以欺骗系统,告诉系统,不存在调试器,直接给筛选器,因此我们需要找到 异常派发时,系统在哪判断是否有调试器存在的,找到后我们可以更改判断结果 或者跳转 的地方

这个在 msdn中有明确的说明 UnhandledExceptionFilter 来判断的

img

img

img

img

接下来我们只需要 更改条件跳转 ,看 筛选器异常能否断下来 ,就可以判断是在哪 判断是否有 调试器的

img

img

img

img

跳过测试可知,当 call 函数 返回值 为0 就可以收到 筛选器异常,为1就无法收到,那么位置我们已经找到了,接下来我们只需要改 判断 函数下一行 把 eax 的值 改为0 就可以 收到 筛选器异常了 即改成 xor eax,eax

img

因此我们只需要写一个插件让他自己去改

img

img
最低0.47元/天 解锁文章

200万优质内容无限畅学
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
[网络安全自学篇] 七十六.逆向分析之OllyDbg动态调试工具(二)INT3断点、反调试、硬件断点与内存断点
杨秀璋的专栏
05-13 9575
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Vulnhub靶机渗透题目bulldog,包括信息收集及目录扫描、源码解读及系统登陆、命令注入和shell反弹、权限提升和获取flag。这篇文章将讲解逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。基础性文章,希望对您有所帮助。
myinfoOD插件 - 断点/注释/标签保存插件
06-02
一个很好用的断点/注释/标签保存插件 ,方便下次调试时载入。不需要UDD文件。
OD插件 - 断点/注释/标签保存插件
06-18
一个很好用的断点/注释/标签保存插件 ,方便下次调试时载入。不需要UDD文件。
PC微信程序多开
weixin_43482414的博客
05-12 533
查看微信安装目录 C:\Program Files (x86)\Tencent\WeChat 管理员权限运行CMD 进入WeChat安装目录 cd C:\Program Files (x86)\Tencent\WeChat 多开微信 需要几个就加入几个&WeChat.exe start WeChat.exe&WeChat.exe
动态链接库(DLL)总结---DLL三种调试(8)
oBuYiSeng的博客
12-02 1万+
DLL有三种调试方法:        方法1:                 如果动态链接库是自己编写的,并且测试代码也是自己编写的,那么此时我们可以将动态链接库和测试代码的工程建立在一起,在调试测试代码的时候,可以直接调用动态链接库中的代码。    方法2: 如果动态链接库是自己编写的,而调用动态链接库的程序不是自己编写的,那么我们需要设置动态链接库中的项目属性,启动调用动态链接库的程
OD修改加载外部DLL动态链接库运行
az44yao的专栏
03-07 3232
pushadmov  eax, 00d8dab0push eax      文件名call 004092F4  loadlibrarymov ebx,eax    传送句柄mov eax,00d8dad0  函数名push eax   函数名入栈push ebx   句柄入栈call 00409214     GetProcAddress 获得函数地址mov ecx,00d8dae0  参数pus...
[系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析
杨秀璋的专栏
02-22 6590
作者前文介绍了微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。这篇文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
简单编写OD插件(附prince's TracKid源码)
ReversalC的专栏
09-13 5939
简单编写OD插件(附prince's TracKid源码)   OllyDbg是一个超强的WIN32调试器,相信大家都熟悉得不能再熟悉了,这里就不多说了。她提供 的插件接口给无数喜爱她的FANS带来了极大的方便,常用的OD隐藏插件、内存DUMP插件等更是脱壳必备。 看着各种插件的推陈出新,大家有没有想过自己写一个属于自己的插件,实现给OD增加自己想要的功能呢 ?如果答案是肯定的话,其实很简
记录用OD汇编将geek前加入自己的代码
最新发布
weixin_61285902的博客
11-11 417
我们的程序已经写完了,现在该让程序回到正轨上了,那我们在我们写的函数后加上原先我们删除的部分,如果原先没有跳转,我们可以自己写跳转到程序的下一个执行的点。好了,现在程序已经跳转过来了,接下来就是执行我们的代码了,在这里我将写一个简单的弹窗代码,因为geek使用了windows api中的弹窗窗口的句柄(Messagebox),所以我们可以直接使用他的。那么我们就要进行我们的操作了,我们在它的入口点先写上一个跳转,让他跳转到我们开辟的新内存空间上去,直接选中双击或者打空格,并输入。
OD工具汇编指令查看器
08-03
不太的懂汇编指令的朋友们,赶紧用,,这个工具还不错的,,分享给大家了
常用汇编命令&&OD命令总结
weixin_34403693的博客
07-23 299
汇编32位CPU所含有的寄存器有:4个数据寄存器(EAX、EBX、ECX和EDX)对低16位数据的存取,不会影响高16位的数据。这些低16位寄存器分别命名为:AX、BX、CX和DX,它和先前的CPU中的寄存器相一致。4个16位寄存器又可分割成8个独立的8位寄存器(AX:AH-AL、BX:BH-BL、CX:CH-CL、DX:DH-DL),每个寄存器都有自己的名称,可独立存取。寄存器EAX通常称为累加...
使用Resource Hacker+W32Dasm+OD移除警告窗口
weixin_46465532的博客
03-20 877
1.使用Resource Hacker加载Nag.exe程序,发现要移除的窗口ID是121,换算成16进制就是79H。 2.使用W32Dasm打开该程序,打开对话框参考。 3.点击Dialog:DialogID_0079,跳转到相关代码处。 4.可在此处发现,调用了DialogBoxParamA函数。该函数参数如下: 5.从该函数参数可知,对话框处理函数指针是其要跳转执行的地址,到达此地址,查看代码。 5.此处有一个EndDialog函数的调用,该函数关闭对话框。 6...
OD/CE 过掉TMD壳附加检查
fenqingfj的专栏
04-01 6895
恢复OD进程附加原理 1、恢复DbgBreakPoint和DbgUiRemoteBreakin被HOOK代码 //由于我是使用ntdll SDK,可直接使用NTDLL中的API,如果你们不能使用,直接用GetProcAddress获取API 注意该处的修复,自己可以写个HOOK,放到LoadLibrary,每次加载DLL时候,就处理一次,防止某些DLL还有TMD壳,又会被恢复
从零开始的程序逆向之路 第一章——认识OD(Ollydbg)以及常用汇编扫盲
dfdhxb995397的博客
07-23 1430
作者:Crazyman_Army 原文来自:https://bbs.ichunqiu.com/thread-43041-1-1.html 0×00序言: 1.自从上次笔者调戏完盗取文件密码大黑客后,这激发了笔者的创作热情,就给大家带来程序逆向系列,当然有一些地方还是有所欠缺,请大家在私聊中指出我文中的错误,我会加以改正。 2.本篇教程每篇文章都会在附件中给出一个程序...
OD插件开发学习
ShadowAssassin的专栏
09-08 4547
关于OD 插件开发的相关api请到网上查阅,这里只给出一个简单基础的例子。 1、新建一个dll工程。 2、创建一个对话框,如图 3、资源文件头如下: //{{NO_DEPENDENCIES}} // Microsoft Visual C++ generated include file. // Used by odplugin1.rc // #define IDD_TEST
PEID加密算法识别插件Krypto ANALyzer
qq_35429581的博客
11-03 4182
前不久一次ctf比赛里碰到的逆向题ida反编译出来一坨恶心的移位异或代码,当时直接蒙蔽谷歌也找不出,这次再度碰到类似的关键代码块也是一筹莫展,ida里面装过一个findcrypto的插件也并没有分析出什么算法,搜索过程中发现可以用PEID的一款插件Krypto ANALyzer,试了下分析出了是DES。。。。 然后。。就没有然后了。。。。搞竞赛也搞了整一年了,感觉还是不经意间在向赛棍的方向走岔了
破解DLL的一点心得体会
热门推荐
01-16 4万+
####破解入门#### 常见的修改方法有两种,我给你举例说明: 示例 1------注册代码: 00451239 CALL 00405E02  (关键CALL,用来判断用户输入的注册码是否正确) 0045123D JZ 004572E6   (!!! 0045XXXX YYYYYYYYYY XXXXXXXX YYYY
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游戏安全实验室_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值