原文链接:https://www.bpsend.net/thread-223-1-1.html

筛选器异常插件

被调试程序: TestUnh.zip

我们用OD条试试发现,无法断下 筛选器异常

异常产生之后 异常首先会给调试器 调试器不处理就会给 SEH , SEH 不处理的话有又给调试器, 调试器不处理的话就会给筛选器 , 筛选器不处理的就会给操作系统,直接退进程

这里面是2次的异常派发流程 第一次 是 到 给SHE 之后属于第二次 派发流程

第二次派发是一个分支,会判断是否有调试器,有的话就给调试器,没有的话直接给筛选器,因此系统会检查软件是否处于调试状态 即检查调试端口是否存在,如果存在,异常就会给调试器,否则给筛选器,所以我们在用 OD 调试筛选器异常时,是不可能再筛选器这下断点的,因此系统检测到了调试器,异常就不会给筛选器

因此我们可以欺骗系统,告诉系统,不存在调试器,直接给筛选器,因此我们需要找到 异常派发时,系统在哪判断是否有调试器存在的,找到后我们可以更改判断结果 或者跳转 的地方

这个在 msdn中有明确的说明 UnhandledExceptionFilter 来判断的

接下来我们只需要 更改条件跳转 ,看 筛选器异常能否断下来 ,就可以判断是在哪 判断是否有 调试器的

跳过测试可知,当 call 函数 返回值 为0 就可以收到 筛选器异常,为1就无法收到,那么位置我们已经找到了,接下来我们只需要改 判断 函数下一行 把 eax 的值 改为0 就可以 收到 筛选器异常了 即改成 xor eax,eax

因此我们只需要写一个插件让他自己去改

接下来就是写插件了

#include <windows.h>

#include "Plugin.h"

int ODBG_Plugindata(char* shortname) {

    strcpy_s(shortname, 32,"筛选器异常修复");

    return PLUGIN_VERSION;

}

int ODBG_Plugininit(int ollydbgversion, HWND hw, ulong* features) {

    return 0;

}

生成解决方案时

把生成的 dll 放到指定目录,再打开 OD,发现我们的插件已经 加载进来了

既然插件可以识别那下面就是增加功能了

我们的目标把红框的代码改成 xor ,eax,eax 即 把 76A6D810 处的 值 改成 33 ,如果直接写固定地址,那么电脑重启后dll 的路径就发生过了改变,即 该处地址也变化了,Name插件也用不了了,因此我们需要用相对地址,可以函数地址+偏移 或者 模块地址 + 偏移

我们可以看到 kernelbase 的 地址是 768B0000 那么 跟 76A6D81B 的偏移值位为 0x1BD81B

#include <windows.h>

#include "Plugin.h"

void  FixUnHandledException();

int ODBG_Plugindata(char* shortname)

{

    strcpy_s(shortname, 32,"筛选器异常修复");

    FixUnHandledException() ;

    return PLUGIN_VERSION;

}

int ODBG_Plugininit(int ollydbgversion, HWND hw, ulong* features)

{

    return 0;

}

void  FixUnHandledException()

{

    //1.定位 test eax,eax的地址

    HMODULE hKernelbase = GetModuleHandle("Kernelbase");

    LPBYTE pDst = (LPBYTE)hKernelbase + 0x1BD81B;

    //2.修改   test eax,eax  位 xor eax,eax

    DWORD dwOldPro = 0;

    //修改内存属性

    VirtualProtect(pDst, 1, PAGE_EXECUTE_READWRITE, &dwOldPro);

    *pDst = 0x33;

    //还原内存属性

    VirtualProtect(pDst, 1, dwOldPro, &dwOldPro);

}

运行发现并没有被修改,猜想可能是因为 修改的太早,程序还没有运行

#include <windows.h>

#include "Plugin.h"

void  FixUnHandledException();

int ODBG_Paused(int reason, t_reg* reg);

int ODBG_Plugindata(char* shortname)

{

    strcpy_s(shortname, 32,"筛选器异常修复");

    return PLUGIN_VERSION;

}

int ODBG_Plugininit(int ollydbgversion, HWND hw, ulong* features)

{

    return 0;

}

int ODBG_Paused(int reason, t_reg* reg)

{

    if (reason == PP_EVENT)

    {

        FixUnHandledException();

    }

    return 1;

}

void  FixUnHandledException()

{

    //1.定位 test eax,eax的地址

    HMODULE hKernelbase = GetModuleHandle("Kernelbase");

    LPBYTE pDst = (LPBYTE)hKernelbase + 0x1BD81B;

    //2.修改   test eax,eax  位 xor eax,eax

    DWORD dwOldPro = 0;

    //修改内存属性

    VirtualProtect(pDst, 1, PAGE_EXECUTE_READWRITE, &dwOldPro);

    *pDst = 0x33;

    //还原内存属性

    VirtualProtect(pDst, 1, dwOldPro, &dwOldPro);

    //用于判断dll有没有被加载

    MessageBox(NULL, "这是我的插件", "提示", MB_OK);

}

调试发现还是没改成功

那是因为 OD 调试时有2个进程 , 我们修改时 修改的是 OD 的进程 , 并没有修改到被调试的进程,但是地址是对的,因为在同一台电脑, kernelbase 的 地址是固定的 , 因此我们需要跨进程修改 内存 OD 提供了 对应的 api

内存函数

结构

OILYDBG为被调试程序保存了一份已分配内存块的信息表,它由TMG

MEMORY

MEMORY*FINDMEMORY(ULONG ADDR);

VOID HAVECOPYOFMEMORY(CHAR *COPY,ULONG BASE,ULONG SIZE);

ULONG READMEMORY(VOID *BUF.ULONG ADDR.ULONG SIZE.INT MODE):

WRITEMEMORY(VOID*BUF ULONG ADDR,ULONG SIZE,INT MODE):

ULONG W

INT LISTMEMORY(VOID);

#include <windows.h>

#include "Plugin.h"

#pragma comment(lib,"Ollydbg.lib")

void  FixUnHandledException();

int ODBG_Paused(int reason, t_reg* reg);

int ODBG_Plugindata(char* shortname)

{

    strcpy_s(shortname, 32,"筛选器异常修复");

    return PLUGIN_VERSION;

}

int ODBG_Plugininit(int ollydbgversion, HWND hw, ulong* features)

{

    return 0;

}

int ODBG_Paused(int reason, t_reg* reg)

{

    if (reason == PP_EVENT)

    {

        FixUnHandledException();

    }

    return 1;

}

void  FixUnHandledException()

{

    //1.定位 test eax,eax的地址

    HMODULE hKernelbase = GetModuleHandle("Kernelbase");

    LPBYTE pDst = (LPBYTE)hKernelbase + 0x1BD81B;

#if 0

    //2.修改   test eax,eax  位 xor eax,eax

    DWORD dwOldPro = 0;

    //修改内存属性

    VirtualProtect(pDst, 1, PAGE_EXECUTE_READWRITE, &dwOldPro);

    *pDst = 0x33;

    //还原内存属性

    VirtualProtect(pDst, 1, dwOldPro, &dwOldPro);

#endif // 0

    BYTE btCode = 0x33;

    Writememory(&btCode, (ulong)pDst, 1, MM_SILENT);

    //用于判断dll有没有被加载

    ;MessageBox(NULL, "这是我的插件", "提示", MB_OK);

}

再次调试,可以发现我们成功修改了,筛选器异常也可以成功调试了

上面虽然成功了,但是兼容性还存在问题,要求二进制文件必须是一样,但是不同的电脑,编译出来的二进制文件是可能不一样的,到时兼容性还是出问题,这种处理方式是搜机器码, 先找到特征码(离修改代码最近的唯一值) ,再去寻找要修改的代码,不然直接搜要修改代码可能会有多个 ,类似于切割出指定字符串

窗口过程函数地址错误

OD 如果没有安装修复插件啊,有些 窗口的过程函数地址是错误的 看雪下载的已经修复

获取过程函数的地址有2种

一种是通过 GetWindowLong 获得 一种是通过 GetClassLong

通过OD 调 OD 对 GetWindowLong 和 GetClassLong 下断点

可以知道是通过 GetClassLongA 拿到的,因此可以猜想 是因为 GetClassLongA 拿的是 多字节的窗口过程函数 而Unicode 窗口 获取 过程函数需要用 GetClassLongW,因此只需要在获取 Unicode 窗口 过程函数是是 用 GetClassLongW 就可以了

跟窗口相关的函数都在 user32 里面 ,跟界面相关的 都在 user32 里面

调试可知 GetClassLong 调取的都是该处的 GetClassLongA ,因此我们只需要改动这里就可以了

jmp是一个间接调,先取地址,在跳到目标位置,因此我们改该处地址就可以了,

我们自己可以实现一个 MyGetClassLong 然后把地址传过来这样他就会调我们的函数,我们只需要做一下判断是 多字节窗口还是 Unicode 就可以了

该处地址的我们还是可以 通过算偏移得到 ,因为 OD 版本一样,所以偏移也是一样的

所以偏移是 0x0050D858 - 0x00400000 = 0x0010D858

#include <windows.h>

#include "Plugin.h"

#pragma comment(lib,"Ollydbg.lib")

void  FixUnHandledException();

int ODBG_Paused(int reason, t_reg* reg);

void FixGetClassLong();

int ODBG_Plugindata(char* shortname)

{

    strcpy_s(shortname, 32,"筛选器异常修复");

    return PLUGIN_VERSION;

}

int ODBG_Plugininit(int ollydbgversion, HWND hw, ulong* features)

{

    FixGetClassLong();

    return 0;

}

int ODBG_Paused(int reason, t_reg* reg)

{

    if (reason == PP_EVENT)

    {

        FixUnHandledException();

    }

    return 1;

}

void  FixUnHandledException()

{

    //1.定位 test eax,eax的地址

    HMODULE hKernelbase = GetModuleHandle("Kernelbase");

    LPBYTE pDst = (LPBYTE)hKernelbase + 0x1BD81B;

#if 0

    //2.修改   test eax,eax  位 xor eax,eax

    DWORD dwOldPro = 0;

    //修改内存属性

    VirtualProtect(pDst, 1, PAGE_EXECUTE_READWRITE, &dwOldPro);

    *pDst = 0x33;

    //还原内存属性

    VirtualProtect(pDst, 1, dwOldPro, &dwOldPro);

#endif // 0

    BYTE btCode = 0x33;

    Writememory(&btCode, (ulong)pDst, 1, MM_SILENT);

    //用于判断dll有没有被加载

    //MessageBox(NULL, "这是我的插件", "提示", MB_OK);

}

LONG MyGetClassLong(HWND hWnd,int nIndex)

{

    if (IsWindowUnicode(hWnd))  // 判断一个窗口是否是 unicode窗口

    {

        return GetClassLongW(hWnd, nIndex);

    }

    else

    {

        return GetClassLongA(hWnd, nIndex);

    }

}

void FixGetClassLong()

{

    //1.定位地址

    HMODULE Hod = GetModuleHandle(NULL);  //获取主模块基址(OD)

    LPDWORD pAddr =(LPDWORD)((LPBYTE)Hod + 0x10D858);

    //2.修改为自己的地址

    DWORD dwOldPro = 0;

    //修改内存属性

    VirtualProtect(pAddr, 1, PAGE_EXECUTE_READWRITE, &dwOldPro);

    *pAddr = (DWORD)MyGetClassLong;

    //还原内存属性

    VirtualProtect(pAddr, 1, dwOldPro, &dwOldPro);

}

调试会发现会崩, 代码没崩,但是运行了一段时间就崩一般情况下是栈歪了

经过调试,还有2个参数在栈上

系统的api 一般都是标准调用约定, 但是我们自己的代码需要自己去平栈, 因此要改动调用约定 改成 stdcall

#include <windows.h>

#include "Plugin.h"

#pragma comment(lib,"Ollydbg.lib")

void  FixUnHandledException();

int ODBG_Paused(int reason, t_reg* reg);

void FixGetClassLong();

int ODBG_Plugindata(char* shortname)

{

    strcpy_s(shortname, 32,"筛选器异常修复");

    return PLUGIN_VERSION;

}

int ODBG_Plugininit(int ollydbgversion, HWND hw, ulong* features)

{

    FixGetClassLong();

    return 0;

}

int ODBG_Paused(int reason, t_reg* reg)

{

    if (reason == PP_EVENT)

    {

        FixUnHandledException();

    }

    return 1;

}

void  FixUnHandledException()

{

    //1.定位 test eax,eax的地址

    HMODULE hKernelbase = GetModuleHandle("Kernelbase");

    LPBYTE pDst = (LPBYTE)hKernelbase + 0x1BD81B;

#if 0

    //2.修改   test eax,eax  位 xor eax,eax

    DWORD dwOldPro = 0;

    //修改内存属性

    VirtualProtect(pDst, 1, PAGE_EXECUTE_READWRITE, &dwOldPro);

    *pDst = 0x33;

    //还原内存属性

    VirtualProtect(pDst, 1, dwOldPro, &dwOldPro);

#endif // 0

    BYTE btCode = 0x33;

    Writememory(&btCode, (ulong)pDst, 1, MM_SILENT);

    //用于判断dll有没有被加载

    //MessageBox(NULL, "这是我的插件", "提示", MB_OK);

}

LONG WINAPI MyGetClassLong(HWND hWnd,int nIndex)

{

    if (IsWindowUnicode(hWnd))  // 判断一个窗口是否是 unicode窗口

    {

        return GetClassLongW(hWnd, nIndex);

    }

    else

    {

        return GetClassLongA(hWnd, nIndex);

    }

}

void FixGetClassLong()

{

    //1.定位地址

    HMODULE Hod = GetModuleHandle(NULL);  //获取主模块基址(OD)

    LPDWORD pAddr =(LPDWORD)((LPBYTE)Hod + 0x10D858);

    //2.修改为自己的地址

    DWORD dwOldPro = 0;

    //修改内存属性

    VirtualProtect(pAddr, 1, PAGE_EXECUTE_READWRITE, &dwOldPro);

    *pAddr = (DWORD)MyGetClassLong;

    //还原内存属性

    VirtualProtect(pAddr, 1, dwOldPro, &dwOldPro);

}

再去调试,发现可以获取正确的 窗口过程函数地址了

x32dbg 也可以写插件

 

Win32汇编学习笔记10.OD插件的更多相关文章

  1. 汇编学习笔记(11)int指令和端口

    格式 int指令也是一种内中断指令,int指令的格式为int n,n是中断类型码.也就是说,使用int指令可以调用任意的中断例程,例如我们可以显示的调用0号中断例程,还记得在汇编学习笔记(10)中我们 ...

  2. Win32汇编学习(4):绘制文本

    这次,我们将学习如何在窗口的客户区"绘制"字符串.我们还将学习关于"设备环境"的概念. 理论: "绘制"字符串 Windows 中的文本是一 ...

  3. thinkphp学习笔记10—看不懂的路由规则

    原文:thinkphp学习笔记10-看不懂的路由规则 路由这部分貌似在实际工作中没有怎么设计过,只是在用默认的设置,在手册里面看到部分,艰涩难懂. 1.路由定义 要使用路由功能需要支持PATH_INF ...

  4. 《C++ Primer Plus》学习笔记10

    <C++ Primer Plus>学习笔记10 <<<<<<<<<<<<<<<<<&l ...

  5. SQL反模式学习笔记10 取整错误

    目标:使用小数取代整数 反模式:使用Float类型 根据IEEE754标识,float类型使用二进制格式编码实数数据. 缺点:(1)舍入的必要性: 并不是所有的十进制中描述的信息都能使用二进制存储,处 ...

  6. golang学习笔记10 beego api 用jwt验证auth2 token 获取解码信息

    golang学习笔记10 beego api 用jwt验证auth2 token 获取解码信息 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放 ...

  7. Spring MVC 学习笔记10 —— 实现简单的用户管理(4.3)用户登录显示全局异常信息

    </pre>Spring MVC 学习笔记10 -- 实现简单的用户管理(4.3)用户登录--显示全局异常信息<p></p><p></p>& ...

  8. Hadoop学习笔记(10) ——搭建源码学习环境

    Hadoop学习笔记(10) ——搭建源码学习环境 上一章中,我们对整个hadoop的目录及源码目录有了一个初步的了解,接下来计划深入学习一下这头神象作品了.但是看代码用什么,难不成gedit?,单步 ...

  9. APUE学习笔记——10.9 信号发送函数kill、 raise、alarm、pause

    转载注明出处:Windeal学习笔记 kil和raise kill()用来向进程或进程组发送信号 raise()用来向自身进程发送信号. #include <signal.h> int k ...

  10. SpringMVC:学习笔记(10)——整合Ckeditor且实现图片上传

    SpringMVC:学习笔记(10)——整合Ckeditor且实现图片上传 配置CKEDITOR 精简文件 解压之后可以看到ckeditor/lang下面有很多语言的js,如果不需要那么多种语言的,可 ...

随机推荐

  1. 在 Aspire 项目下使用 AgileConfig

    什么是 Aspire .NET Aspire 是一组工具.模板和包,用于构建易于监控的.可投入生产的应用程序..NET Aspire 通过一系列 NuGet 包交付,这些包通过启动或解决现代应用开发中 ...

  2. pandas 删除指定条件的行

    inplace=True:不创建新的对象,直接对原始对象进行修改: inplace=False:对数据进行修改,创建并返回新的对象承载其修改结果. 删除工作日餐补为0的记录 row_index=df[ ...

  3. Manjora配置记录

    22/9/12 目前的启动项有3:Windows Boot Manager.Manjaro.UEFI OS.其中UEFI OS 和 Manjaro 进入后内容相同:Windows下检测不到Manjar ...

  4. Windows下Dll在Unity中使用的一般方式

    Windows下Dll在Unity中使用的一般方式 Unity中虽然已经有广泛的库和插件,但是相较于C++的库生态而言,还是有一定的差距:因此本篇博文记录Windows下将C++函数打包成动态链接库在 ...

  5. 《视觉SLAM十四讲》第13讲 设计SLAM系统 回环检测线程的实现

    <视觉SLAM十四讲>第13讲 设计SLAM系统 回环检测线程的实现 这个学期看完了高翔老师的<视觉SLAM十四讲>,学到了很多,首先是对计算机视觉的基本知识有了一个更加全面系 ...

  6. RabbitMQ 延迟任务(限时订单) 思路

    一.场景 我们经常会碰见,一个需求就是,发送一条指令(消息),延迟一段时间执行,比如说常见的淘宝当下了一个订单后,订单支付时间为半个小时,如果半个小时没有支付,则关闭该订单.当然实现的方式有几种,今天 ...

  7. [每日算法 - 华为机试] leetcode53 :最大子数组和 「算法中的哲学」

    入口 53. 最大子数组和https://leetcode.cn/problems/maximum-subarray/ 题目描述 给你一个整数数组 nums ,请你找出一个具有最大和的连续子数组(子数 ...

  8. FastAPI Pydantic动态调整Schema

    title: FastAPI Pydantic动态调整Schema date: 2025/3/29 updated: 2025/3/29 author: cmdragon excerpt: Pydan ...

  9. 【SpringCloud】SpringCloud Alibaba入门简介

    SpringCloud Alibaba入门简介 why会出现SpringCloud alibaba Spring Cloud Netflix项目进入到维护模式 SpringCloud Netflix ...

  10. 【Spring】JdbcTemplate的使用方法

    概念和准备 什么是 JdbcTemplate Spring 框架对 JDBC 进行封装,使用 JdbcTemplate 方便实现对数据库操作 准备工作 引入相关 jar 包 在 spring 配置文件 ...