GS编译保护技术是通过编译时添加相关代码而实现的,扒唤开启GS 编译选项后会在函数的开头和结尾添加代码来阻止栈溢出漏洞的利用。当应用程序启动时,程序的cookie被计算出来(伪随机数)并保存在.data 节段中,在函数的开头这个 cookie 被拷贝到栈中,位于返回地址和局部变量的中间。
函数调用完后系统检测cookie值是否被修改。
1.2 绕过方法
计算/猜测cookie值
覆盖虚函数表
堆栈布局:[局部变量][cookie][入栈寄存器][返回地址][参数][虚表指针]。
覆盖对象和虚函表指针,如果你把这个指针指向一个用于欺骗的虚函数表,你就可以重定向这个虚函数的调用,并执行恶意的代码。
覆盖SHE
SEH句柄用于指向异常处理函数,这个句柄被存在SecurityCookie的上方,这使得攻击者不需要覆盖到SecurityCookie就可以修改SEH句柄指向的位置。
同时替换掉栈中和.data段中的cookie值
通过替换加载模块.data 节中的cookie 值(可写)来绕过栈上的 cookie 保护,并用相同的值替换栈中的cookie。
2 SafeSEH机制
2.1 基本原理
通过覆盖SEH可以绕过GS编译保护,所以微软又引入了一种SEH的安全校验机制——SafeSEH。
通过启用/SafeSEH编译选项来把这种机制应用到所有闹凯的执行模块上,当异常处理器被执行前,SafeSEH会验证异常处理链是否被修改过。系统会从头到尾遍历异常处理链表,并逐个验证它们的有效性。
如果覆盖SEH,这将破坏链表并触发SafeSEH机制。
2.2 绕过方法
利用未开启SafeSEH保护的模块
寻找程序中加载的未开启SafeSEH保护的模块来绕过,比如软件本身自带的dll文件。
利用堆绕过
SafeSEH允许其异常处理句柄位于除栈空间之外的非映像页面。如果你将shellcode写在堆空间中 ,再覆盖SEH链表的地址。使程序异常处理句柄指向堆空间,就可以绕过SafeSEH的检测了。
覆盖虚函数表(同上)
3 SEH覆盖保护
3.1 基本原理
SEH覆盖保护(SEHOP)可作为SEH的扩展,用于检测SEH是否被覆写。
SEHOP的核心特性是用于检测程序栈中的所有SEH结构链表的完整性,特别是对最后一个SHE结构的检测。在最后一个SEH结构中拥有一个特殊的异常处理函数指针,指向一个位于ntdll中的函数ntdll!FinalExceptHandler()。
3.2 绕过方法
利用未开启SEHOP保护的模块
覆盖虚函数表
伪造SEH链表
4 数据执行保护(DEP)
4.1 基本原理
数据执行保护 (DEP) 是一套软硬件技术,能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。
DEP 有两种模式,如果 CPU 支持内存页 NX 属性, 就是硬件支持的 DEP。如果 CPU 不支持, 那就是软件支持的 DEP 模式,这种 DEP 不能阻止在数据页上执行代码,但可以防止其他的 exploit(如SEH覆盖)。
4.2 绕过方法
ret2libc
ret2libc是一种通过retn指令在库函数中寻找可用代码的攻击方式。由于其所有代码都是从libc中找到的,所以不存在不可执行的问题。
关闭进程的DEP (NtSetInformationProcess)
因为 DEP 可以设置不同的模式, *** 作系统需要能动态关闭DEP,因此系统肯定有API来启用或关闭NX,如果黑客可以找到这个NTDLL中的 API,就能绕过硬件DEP保护。一个进程的DEP设置标志保存在内核结构中(KPROCESS结构),这个标志可以用函数NtQueryInformationProcess和NtSetInformationProcess通过设置ProcessExecuteFlags类来查询和修改,用内核调试器也可以达到同样的目的。
利用可写可执行内存
有些程序可能由于配置的问题或者其他原因,在进程中存在可读可写可执行的区域。如果攻击者可以将shellcode写入这部分空间中并劫持流程,就可以绕过DEP。
利用TEB突破DEP(局限于XP SP2以下的版本)
利用WPN与ROP技术
利用SEH
5 地址随机化(ASLR)
5.1 基本原理
ASLR(地址空间布局随机化)技术的主要功能是通过对系统关键地址的随机化,防止攻击者在堆栈溢出后利用固定的地址定位到恶意代码并加以运行。它主要对以下四类地址进行随机化:堆地址、栈基址、PE文件映像基址、PEB地址。
适用范围:Windows Vista,Windows 2008 server,Windows 7下是默认启用。
5.2 绕过方法
覆盖部分返回地址
虽然模块加载基地址发生变化,但是各模块的入口点地址的低字节不变,只有高位变化。部分返回地址覆盖,可以使得覆盖后的地址相对于基地址的距离是固定的,可以从基地址附近找可以利用的跳转指令。这种方法的通用性不是很强,因为覆盖返回地址时栈上的Cookie会被破坏。不过具体问题具体分析,为了绕过 *** 作系统的安全保护机制需要考虑各种各样的情况。
A1Pass大牛写的,国内实力派黑客团队EST(邪恶八进制)成员……我就是在百度知道里认识他的,为人比较低调。^_^
这本书还有EST老大 冰雪封情 的写的推荐序,貌似阵容很强大!!
这本书我买了,讲的全面并且深入,个人认为还不错。
以下是我在他博客摘录的:
***********************************************
定价:32元(240页,140千字)
简介:
现在的网络病毒木马横行,每天都有数百种新型病毒与木马出现,而这其中相当大的一部分其实就是经过骇客们免杀处理的变种。因此为了使想研究免杀技术的病毒防御工作者与黑客技术爱好者更加透彻与系统的了解免杀技术,我在黑客X档案的支持下写了这本书,意在给需要它的人一个详尽的参考,并对免杀技术做一个比较系统的阐述。
《黑客免杀入门》是现在国内仅有的几本免杀技术书籍之一。鉴于免杀技术的性质与其它已上市图书的特点,本书除了详尽的介绍了免杀方法外,更兼顾了免杀原理与思路突破的介绍,并驳斥了网络与书本上关于免杀技术的一些错误理论,而且对圈内的部分模糊概念作了详尽的澄清,真正做到了一些具有突破性质的原理介绍,作者之所以下如此大的精力研究这些,只是为争取使本书的读者更加透彻的了解免杀技术。
除此之外,书中使用简单易懂的语言阐述了现在某些专业杀毒防毒书籍中都未曾提到起的一些珍贵资料,使您在反向更加了解现有免杀方法的优点与缺点。因此,相信本书会成为一本初学者与高手都认为物有所值的著作,更相橡蔽信本书会使您爱上免杀技术。
涉及内容:
各种免杀技术、手动脱壳、改壳、汇编、简单的逆向工程、汉化等
适合读者:
1、对杀毒或黑客技术感兴趣的朋友。
这本书将带领您进入免杀这个没有硝烟的梁斗州智力战场。
2、免杀爱好者。
这本书将是您很好的参考手册
3、电脑病毒防御工作人员。
正可谓知己知彼,百战不殆!在您了解了各种免杀原理与思想后,相信会帮助您在杀毒软件发展与创新方面快速取得灵感。
4、对软件加密、解密感兴趣的朋友。
一、和我一起来认识免杀
1.1 什么是免杀
1.2 免杀的发展史
1.3 免杀能做什么
二、组建试验环境
2.1 我们需要什么
2.2 安装虚拟机
2.2.1 影子系统的安装与使用
2.2.2 VMware虚拟机的安装与使用
2.3 杀毒软件的安装与设置
2.4 认识我们的免杀利器
三、免杀销渗基础知识
3.1 杀毒软件的原理与杀毒技术简介
3.1.1 杀毒软件工作原理
3.1.2 基于文件扫描的杀毒技术
3.1.3 基于内存扫描的杀毒技术
3.1.4 杀毒技术前沿
3.1.5 杀毒技术展望
3.2 了解PE文件
3.2.1 什么是PE文件
3.2.2 认识PE文件
3.3 文件免杀原理
3.3.1 什么是特征码
3.3.2 文件免杀原理
3.4工具脱壳技巧
3.4.1 专用脱壳工具脱壳
3.4.2 使用通用脱壳工具
四、特征码免杀技术
4.1 战前热身——脚本木马免杀实例
4.1.1理想状态下的免杀
4.1.2脚本木马也要玩“花指令”
4.2 特征码定位原理
4.2.1 CCL特征码定位原理
4.2.2 MYCCL特征码定位原理
4.2.3 MultiCCL特征码定位原理
4.3 脚本木马定位特征码技巧
4.4 MYCCL查找文件特征码
4.4.1 MYCCL的典型应用
4.4.2 针对MYCCL的一点思考
4.5 MYCCL查找内存特征码
4.6 MultiCCL使用技巧
4.6.1 MultiCCL介绍
4.6.2 MultiCCL定位文件特征码
4.6.3 MultiCCL定位内存特征码
4.6.4 由MultiCCL想到的
4.7 特征码修改方法
4.7.1 简单的特征码修改
4.7.2 特征码修改进阶
五、其他免杀技术
5.1 改文件头免杀
5.1.1 *** 作篇
5.1.2 原理篇
5.2 入口点免杀技术
5.2.1 *** 作篇
5.2.2 原理篇
5.3 使用Vmprotect加密
5.3.1 *** 作篇
5.3.2 原理篇
5.4 Restorator资源修改
5.4.1 *** 作篇
5.4.2 原理篇
5.5 Overlay附加数据处理及应用
5.5.1 *** 作篇
5.5.2 原理篇
5.6 Sys免杀修改技巧
5.6.1 sys文件的常见免杀方法
5.6.2 sys文件的手工免杀思路
5.7 补丁在免杀中的应用
5.7.1 *** 作篇
5.7.2 原理篇
5.8 免杀根基——PE文件介绍
5.8.1 PE文件格式
5.8.2 虚拟内存的简单介绍
5.8.3 PE文件的内存映射
5.9 PE文件中的免杀技术
5.9.1 移动PE文件头位置免杀
5.9.2 输入表移动免杀
5.9.3 输出表移动免杀
5.10 网页木马的免杀技术
5.10.1 脚本木马免杀
5.10.2小论网页木马的免杀
六、免杀与花指令
6.1 什么是花指令
6.2 脚本木马的花指令应用
6.3 花指令根基——了解汇编语言
6.3.1 认识汇编
6.3.2 由汇编语言想到的——通过反汇编添加任意功能
6.4 花指令入门
6.5 花指令在免杀领域的应用
6.5.1 花指令的应用技巧
6.5.2 花指令的修改技巧简介
6.5.3 空白区域寻找与加空白区段
6.6 花指令的高级应用
6.6.1 花指令的提取与快速应用
6.6.2 SEH异常的应用
七、免杀与壳
7.1 什么是壳
7.2 壳的基础知识
7.3 壳在免杀领域的应用
7.3.1 加壳的免杀原理
7.3.2 FreeRes多重加壳
7.4 壳的修改技巧
7.4.1 壳的初级修改
7.4.2 制作通用补丁
7.5 手工脱壳技巧
7.5.1 手工脱壳基础
7.5.2 SFX自解压法脱壳
7.5.3 出口标志法脱dePack壳
7.5.4 单步跟踪法脱壳
7.5.5 经典的ESP定律脱壳
7.5.6 最后一次异常法脱壳
7.5.7 内存镜像法脱壳
7.5.8 模拟跟踪法脱壳
7.5.9 非完美脱壳后的程序修复
八、免杀技术前沿
8.1 杀毒与免杀技术的发展
8.2 启发式杀毒原理
8.2.1 启发式杀毒原理
8.2.2 启发性标志详解
8.3 针对启发式杀毒的免杀方法
8.4 主动防御的原理
8.4.1 初探主动防御
8.4.2 主动防御的原理
8.5 针对主动防御的免杀方法
8.5.1 剖析主动防御的弱点
8.5.2 修改时间攻破卡巴斯基
8.5.3 通过主动防御特征码来突破瑞星主防
8.5.4 手工打造突破主动防御
8.6 与杀毒软件的对抗
九、免杀技术补白
9.1 综合免杀实例
9.1.1 策划安排
9.1.2 设计免杀流程与免杀对策
9.1.3 设计免杀执行方案
9.1.4 按照执行方案执行免杀 *** 作
9.2 免杀中的汉化技术
9.2.1 VB程序的汉化与修改
9.2.2 C程序的汉化与修改
9.2.3 Delphi程序的汉化与修改
9.3 病毒命名规则初探
9.4 关于免杀的几个FAQ
****************************************************
给点奖励分吧……
什么是脱壳技术?在一些电脑软件里有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行拿到控制权,然后完成它们保护软件的任务。
就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。
由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。
就像电脑病毒和自然界的病毒一样,其实都是命名上的方法罢了。
从功能上抽象,软件的壳和自然界中的壳相差无几。
无非是保护、隐蔽壳内的东西。
而从技术的角度出发,壳是一段执行于原始程序前的代码。
原始程序的代码在加壳的过程中可能被压缩、加密……。
当加壳后的文件执行时,壳这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。
软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP(入口点,防止被破解)。
关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。
(一)壳的概念:作者编好软件后,编译成exe可执行文件。
1.有一些版权信息需要保护起来,不想让别人随便改动如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。
2.需要把程序搞的小一点,从而方便使用。
于是需要用到一些软件,它们能将exe可执行文件压缩。
3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。
实现上述功能,这些软件称为加壳软件。
(二)加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32PE-PACKPETITE NEOLITE (三)侦测壳和软件所用编写语言的软件,因为脱壳之前要查他的壳的类型。
1.侦测壳的软件 fileinfo.exe 简称 fi.exe (侦测壳的能力极强)。
2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒)推荐。
language2000中文版(专门检测加壳类型)。
3.软件常用编写语言DelphiVisualBasic (VB)最难破;VisualC (VC)。
(四)脱壳软件。
软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。
目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不怕他加壳了。
软件脱壳有手动脱和自动脱壳之分,下面我们先介绍自动脱壳,因为手动脱壳需要运用汇编语言,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍。
======================================================================= 加壳一般属于软件加密,现在越来越多的软件经过压缩处理,给汉化带来许多不便,软件汉化爱好者也不得不学习掌握这种技能。
现在脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等晌核调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。
而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,例如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了。
另外脱壳就是用专门的脱壳工具来对付,最流行的是PROCDUMP v1.62,可对付目前各种压缩软件的压缩档。
在这里介绍的是一些通用的方法和工具,希望对大家有帮助。
我们知道文件的加密方式,就可以使用不同的工具、不同的方法进行脱壳。
下面是我们常常会碰到的加壳方式及简单的脱壳措施,供大宴明掘家参考:脱壳的基本原则就是单步跟踪,只能往前不能往后。
脱壳的一般流程是:查壳--->寻找OEP--->Dump修复。
找OEP的一般思路如下:[color=blue]先看壳是加密壳还是压缩壳,压缩壳相对来说容易些一般是没有异常,找到对应的popad后就能到入口。
跳到入口的方式一般为:我们知道文件被一些压缩加壳软件加密,下一步我们就要分析加密软件的名称、版本。
因为不同软件甚至不同版本加的壳,脱壳处理的方法都不相同。
我很少写破槐孝文,最近看到一些新手常问查壳工具查不出是什麽壳?不知壳如何脱?我这里就简单的用一个范例程式谈谈脱壳方法,算是给新手打打气。
一般这种没有公开的壳不会太猛(除了hying,vcasm, jingulong等这些圈内人的壳哈)大多是自己土制的壳,有的还伪装一下致使查壳工具查不出或查出什麽Aspack,UPX的壳。
碰到这种壳不用太怕认真跟踪分析一下、一般都没多大问题。
一般加壳后的程式运行时大多是用各种方法AntiDebugger,其中夹杂很多花指令和垃圾指令、然后解码又是一堆AntiDebugger,可能又解码恢复IAT又是一堆AntiDebugger.....最后再跳到程式真正的OEP处。
对付这种壳一般的方法是先找到OEP,再修复IAT。
在壳跳到OEP的时候一般是个跨段跳转,跳转方法有很多例如:JMP XXXXXXXX, JMP [XXXXXXXX], JE [XXXXXXXX],PUSH XXXXXXXX RET, CALL XXXXXXXXX, CALL [XXXXXXXX], CALL EAX.....还有的是在SEH中直接指定EIP等等。
找到这个跳转位址,然后在相应位址上设上中断点,F9运行就到达OEP处了。
此时就是最好的Dump时机,修复IAT一般用...
推荐一个混淆或加壳软件!!!
微软的 Dotfuscator Community Edition打包注册表项,运行库,程序文件.....{最好在XP-X86 环境下打包,上下兼容}PS:其实自己也能做,就像读取文本再写进去过程中加下密,就像RAR,然后利用一个可执行程序进行解压{俗称-安装,术语-封装} 在百度文库里搜索一下教程 内容更多建议和 加壳 一起学,
如何破解一个软件
用工具试试看。
但是不保证一定能成功。
如果启动软件的时候,出现需要注册码情况话,。
1.启动软件之后,先选择你要解密的office文件,再选择恢复模式,点击“开始”等待破解结束即可,这里以word做为例子。
2.如果已知密码位数高于6位的话,建议使用字典破解,然后在字典破解中设置密码长度即可。
office密码破解工具:http://www.3322.cc/soft/7982.html
萌新问一个问题 软件加壳后跟不加壳到底有什么不同
壳是用来保护软件的,防止被破解,比如著名的vmp加壳软件,加了这个壳之后较难破解,但高手还是可以破解的。
不加壳的软件仿佛是在裸奔,很轻易破解。
加壳的软件可以查看反汇编代码,也可以修改,包括关键的,常用的软件就是ollydbg反汇编工具。
破解软件一般就是用ollydbg对软件进行脱壳再破解。
加壳脱壳加花有什么不同?
壳,脱壳,加壳 在自然界中,我想大家对壳这东西应该都不会陌生了,由上述故事,我们也可见一斑。
自然界中植物用它来保护种子,动物用它来保护身体等等。
同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。
它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。
就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。
由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。
就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。
从功能上抽象,软件的壳和自然界中的壳相差无几。
无非是保护、隐蔽壳内的东西。
而从技术的角度出发,壳是一段执行于原始程序前的代码。
原始程序的代码在加壳的过程中可能被压缩、加密……。
当加壳后的文件执行时,壳-这段代码先于原始程序运行,他把压缩、加密后的代码还原成原始程序代码,然后再把执行权交还给原始代码。
软件的壳分为加密壳、压缩壳、伪装壳、多层壳等类,目的都是为了隐藏程序真正的OEP(入口点,防止被破解)。
关于“壳”以及相关软件的发展历史请参阅吴先生的《一切从“壳”开始》。
(一).壳的概念 作者编好软件后,编译成exe可执行文件。
1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等,即为了保护软件不被破解,通常都是采用加壳来进行保护。
2.需要把程序搞的小一点,从而方便使用。
于是,需要用到一些软件,它们能将exe可执行文件压缩, 3.在黑客界给木马等软件加壳脱壳以躲避杀毒软件。
实现上述功能,这些软件称为加壳软件。
(二).加壳软件最常见的加壳软件ASPACK ,UPX,PEcompact 不常用的加壳软件WWPACK32PE-PACK PETITE NEOLITE (三).侦测壳和软件所用编写语言的软件,因为脱壳之前要查他的壳的类型。
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强) 2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒) 推荐language2000中文版(专门检测加壳类型) 3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC) (四)脱壳软件。
软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的手段。
目前有很多加壳工具,当然有盾,自然就有矛,只要我们收集全常用脱壳工具,那就不怕他加壳了。
软件脱壳有手动脱壳和自动脱壳之分,下面我们先介绍自动脱壳,因为手动脱壳需要运用汇编语言,要跟踪断点等,不适合初学者,但我们在后边将稍作介绍。
加壳一般属于软件加密,现在越来越多的软件经过压缩处理,给汉化带来许多不便,软件汉化爱好者也不得不学习掌握这种技能。
现在脱壳一般分手动和自动两种,手动就是用TRW2000、TR、SOFTICE等调试工具对付,对脱壳者有一定水平要求,涉及到很多汇编语言和软件调试方面的知识。
而自动就是用专门的脱壳工具来脱,最常用某种压缩软件都有他人写的反压缩工具对应,有些压缩工具自身能解压,如UPX;有些不提供这功能,如:ASPACK,就需要UNASPACK对付,好处是简单,缺点是版本更新了就没用了。
另外脱壳就是用专门的脱壳工具来对付,最流行的是PROCDUMP v1.62 ,可对付目前各种压缩软件的压缩档。
在这里介绍的是一些通用的方法和工具,希望对大家有帮助。
我们知道文件的加密方式,就可以使用不同的工具、不同的方法进行脱壳。
下面是我们常常会碰到的加壳方式及简单的脱壳措施,供大家参考: 脱壳的基本原则就是单步跟踪,只能往前,不能往后。
脱壳的一般流程是:查壳->寻找OEP->Dump->修复 找OEP的一般思路如下: 先看壳是加密壳还是压缩壳,压缩壳相对来说容易些,一般是没有异常,找到对应的popad后就能到入口,跳到入口的方式一般为。
我们知道文件被一些压缩加壳软件加密,下一步我们就要分析加密软件的名称、版本。
因为不同软件甚至不同版本加的壳,脱壳处理的方法都不相同。
常用脱壳工具: 1、文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan, 2、OEP入口查找工具:SoftICE,TRW,ollydbg,loader,peid 3、dump工具:IceDump,TRW,PEditor,ProcDump32,LordPE 4、PE文件编辑工具:PEditor,ProcDump32,LordPE 5、重建Import Table工具:ImportREC,ReVirgin 6、ASProtect脱壳专用工具:Caspr(ASPr V1.1-V1.2有效),Rad(只对ASPr V1.1有效),loader,peid (1)Aspack: 用的最多,但只要用UNAS
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)