elva

syser 實戰(zhàn)一(分析 nprotect 的 dump_wmimmc.sys)

syser 實戰(zhàn)一(分析 nprotect 的 dump_wmimmc.sys)

　我們使用跑跑卡丁車這款游戲來調(diào)試 dump_wmimmc.sys 驅(qū)動．
通常調(diào)試一個程序都要從程序入口開始。當(dāng)然調(diào)試驅(qū)動也不例外。
我們可以通過 bpload dump_wmimmc.sys 斷點來攔截 dump_wmimmc.sys 的驅(qū)動程序入口函數(shù)。
（也就是 NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath))

當(dāng)然了其他的驅(qū)動程序都可以通過這種方法來設(shè)置斷點在驅(qū)動入口。但是調(diào)試 NP 保護的游戲還是需要一點技巧。
因為 NP 把 syser debugger 列入了黑名單。就是他的應(yīng)用程序部分在運行時會檢測 syser.sys 如果在運行時。
應(yīng)用程序會直接退出.　如下圖

我們首先啟動跑跑卡丁車游戲。在出現(xiàn)如下窗口時

　然后馬上啟動 syser debugger. 然后 ctrl+f12 呼出
syser debugger 的主窗口，(這里速度要快,要不然會錯過 dump_wmimmc.sys 的加載)然后執(zhí)行 bpload dump_wmimmc.sys 命令，然后 F5 后 x 命令退回到 windows.
隨后當(dāng) dump_wmimmc.sys 驅(qū)動被加載時調(diào)試器被激活，調(diào)試器界面如下：

　

這時我們可以使用 driver dump_wmimmc 命令來查看有關(guān)這個驅(qū)動的信息。
如果我們想要了解這個驅(qū)動的詳細初始化過程我們可以單步跟蹤每條指令，
如果我們只關(guān)心應(yīng)用程序是如何于 dump_wmimmc.sys 交互過程，我們只需要把斷點設(shè)置在關(guān)鍵函數(shù)上就可以。
那我們?nèi)绾蝸矶ㄎ贿@個關(guān)鍵函數(shù)，大家可能都比較熟悉驅(qū)動和應(yīng)用的交互主要通過以下幾個 API 來完成。
CreateFile，用來打開這個驅(qū)動的文件句柄，DeviceIoControl 用來和驅(qū)動交互。 CloseHandle 關(guān)閉驅(qū)動的句柄。
驅(qū)動的 DriverEntry 函數(shù)主要是負責(zé) 初始化驅(qū)動對象，建立一個設(shè)備對象，建立一個符號連接，可以讓應(yīng)用程序
使用 CraateFile 這個 api 來打開這個驅(qū)動文件的句柄。初始化驅(qū)動對象主要是包括了完成驅(qū)動對象中一些函數(shù)指針
的初始化。這里就包括了最重要的 DeviceIoControl 被調(diào)用時，驅(qū)動程序要執(zhí)行的函數(shù)的指針的初始化。
我們可以通過 p ret 命令，來執(zhí)行完 DriverEntry 函數(shù)，執(zhí)行完這個函數(shù)后我們在用 driver dump_wmimmc 命令
來看一下 DRIVER_OBJECT 的變化，這個時候我們從下圖可以看到

　

我們把斷點設(shè)置 IPR_MJ_DEVICE_CONTROL 出來函數(shù)所在的地址，然后 F5 或者 x 命令退回到 windows.
當(dāng) syser debugger 再次彈出時，斷點在 IRP_MJ_DEVICE_CONTROL 對應(yīng)的函數(shù)上了。
我們發(fā)現(xiàn) MJ_CREATE,MJ_CLOSE,MJ_SHUTDOWN,MJ_DEVICE_CONTROL 這幾個函數(shù)是一個，其實我們這里只關(guān)心應(yīng)用與驅(qū)動的
交互過程，不關(guān)系驅(qū)動的打開于關(guān)閉。這是我們找到 DEVICE_CONTROL 的處理部分，然后在這個處理部分的開始設(shè)置一個斷點
即可。

我們把斷點設(shè)置在 IRP_MJ_DEVICE_CONTROL 的處理代碼上

dump_wmimmc+3065 處，F(xiàn)5 退回 windows.

Syser 再次被激活時我們可以分析應(yīng)用與驅(qū)動的 DeviceIoControl 調(diào)用交互中。
此時的 edx 為 IoControlCode.

此時我們可能關(guān)心應(yīng)用程序在那里調(diào)用了 DeviceIoControl API,這時我們只需要通過
幾次 F6 或 p ret 命令來跟蹤到應(yīng)用層即可。通過5，6次的 f6 后，我們看到了下圖，
eip 已經(jīng)回到了應(yīng)用層。

這里我們看到作者并沒有直接通過 DeviceIoControl API 來調(diào)用。而是自己通過 INT 2e 指令
自己實現(xiàn)了 DeviceIoControl 調(diào)用。這樣就解釋了為什么在 ollydbg 中用 DeviceIoControl 函數(shù)
斷點停不下來的問題。

這樣我們就定位到了應(yīng)用層的 DeviceIoControl 函數(shù)的位置.這樣我們就可以把斷點設(shè)置在這里,哈哈
朋友們很簡單吧.
F5 讓我們繼續(xù)吧.

syser 再次在驅(qū)動的 IRP_MJ_DEVICE_CONTROL 的斷點處被激活。
這次的 IoControlCode = 84020038,我們通過 f8 或 t 命令單步跟蹤這個 ioctrl.
我們看到 DeviceIoControl 的 InputBuffer 的長度是 1c 也就是 7 個dword.
我們看一下 InputBuffer 的數(shù)據(jù).

再次斷到的 IoControlCode = 84020014 ，這個 IoControlCode 的輸入數(shù)據(jù)的長度是6c
我們在數(shù)據(jù)窗口來查看輸入數(shù)據(jù)，我們可以功過 wd + 命令來增加一個數(shù)據(jù)窗口， syser debugger
最多支持 10 個數(shù)據(jù)窗口，同樣也可以通過 wc + 命令來增加一個反匯編窗口，syser debugger 最多
支持10個反匯編窗口.

我們使用 ctrl+2 切換到大控制臺窗口,

我們再次斷到 IoControlCode = 84020020, 我們這時已經(jīng)是輕車熟路了，看到 InputBufferLength=44
我們來看一些輸入數(shù)據(jù) ,這個 iocontrolcode 很關(guān)鍵

這部分代碼用來防止關(guān)鍵函數(shù)被 hook,以及恢復(fù)原始的 windows int 1的中斷處理函數(shù). 這樣就讓 ring 0 的調(diào)試器失效

所以這部分代碼我們要做處理啊. 不然我們就不能繼續(xù)調(diào)試了

[COLOR="Red"]接下來的代碼將要對被加密的代碼段進行解密。
這里我們就必須耐心的進行分析，經(jīng)過分析，我們在
dump_wmimmc+1f1d處設(shè)置一個斷點。 F5 讓我們繼續(xù)把。
對 dump_wmimmc+1892 到 dump_wmimmc+1e3d 這長度是 5ac 的代碼進行
解密。[/COLOR](注意: 現(xiàn)在很多程序在解密過成中都會讀取一些可能被下斷點的關(guān)鍵代碼處數(shù)據(jù)來做
解密密鑰,如果你正好在這個地方設(shè)置了cc 的代碼斷點,可能就中招了,當(dāng)然了這個程序我到?jīng)]有主要
到作者是否使用了這些技巧,來擾亂跟蹤.所以這里我建議大家使用 bpmb[w|d]這種硬件斷點的方式來
設(shè)置斷點)

當(dāng)斷點在次被激活在 dump_wmimmc+1f1d 的時候,我們發(fā)現(xiàn)機密已經(jīng)完成,
這個時候我們就可以把這段被解密的數(shù)據(jù)用 dump 命令保存到一個文件.
dump 命令會保存這個命令執(zhí)行之前內(nèi)存中數(shù)據(jù)的快照,DUMP命令是延遲執(zhí)行的,也就是驅(qū)動開發(fā)中的 dpc 概念,
這個大家可以參考一下DDK的文當(dāng),

待續(xù)．．．．

Syser Debugger 1.8 版發(fā)布(2007.5.1)

http://www.sysersoft.com

1. 修改了 bpx 命令，bpx createfilea 這類斷點在所有進程中有效.
2. 完善了原代碼調(diào)試中的 Watch 命令。
3. 增加了 watch,file,table 命令，用來支持原代碼調(diào)試
4. 增加了 MakePE 命令，保存內(nèi)存中的 PE 到文件中。
5. 增加了 dump 命令，存儲內(nèi)存中的信息到文件中
6. 增加了內(nèi)存搜索操作對話框
7. 修改了 Syser Loader 中的bug
8. 提供了對 ALPS 觸摸板的支持
9. 提供了對 vc2005 的 pdb 文件格式的支持
10. 優(yōu)化了 sds 符號文件結(jié)構(gòu)，提高性能
11. 修改了 syserboot.sys 文件被 McAfee 誤報病毒的問題

posted on 2007-05-14 01:08 葉子閱讀(5501) 評論(0) 編輯收藏引用所屬分類: 技術(shù)研究

只有注冊用戶登錄后才能發(fā)表評論。


相關(guān)文章: 軟件編程21法則 Linux對稀疏（Sparse）文件的支持 CFileDialog 異常退出的問題 [轉(zhuǎn)]一段精巧的代碼~~ring3文件占坑大法清空代碼防止查看源代碼(ZT) JavaScript加密解密7種方法調(diào)用未知DLL中的導(dǎo)出函數(shù) AK922: 突破磁盤低級檢測實現(xiàn)文件隱藏實用級反主動防御rootkit設(shè)計思路感染EXE

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

導(dǎo)航

統(tǒng)計信息

隨筆 - 202
文章 - 1
評論 - 115
Trackbacks - 0

News

當(dāng)你對某個領(lǐng)域感興趣時，你會在走路、上課或洗澡時都對它念念不忘，你在該領(lǐng)域內(nèi)就更容易取得成功。更進一步，如果你對該領(lǐng)域有激情，你就可能為它廢寢忘食，連睡覺時想起一個主意，都會跳起來

常用鏈接

留言簿(19)

隨筆分類

隨筆檔案

相冊

1
2
3
other

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品