修改SoftIce使其在2000/xp下躲过检测
方法来自这里http://www.woodmann.com/upload/showthread.php?s=&threadid=1806
在这里我想说说自己的一点修改经验,其实基本上和上面的帖子所说的内容相同。只是附加一点自己的解释为了在2000/xp下躲过对SoftIce的检测,我们需要修改三个文件。其中NTICE.SYS和SIWVID.SYS位于%windir%/system32/drivers目录下。NMTRANS.DLL位于SI的安装目录首先,我们要明白在2000/xp下有哪些手法来检测SoftIce,最见的方法就是用CreateFileA的方式来检测NTICE和SIWVIDSTART的存在,这是2000/xp下打开设备驱动的方法。还有就是利用INT 1和INT 3的方式和GF....MJ检查。在这,我们只说怎么躲过这些方法的监测。至于反单步跟踪,那需要你自己的调试技巧,不在本文范围之类。
以下是如何修改那三个文件,让我们的SoftIce具有anti detect功能。
提醒!!
两个驱动文件NTICE.SYS和SIWVID.SYS被修改后一定要修正其效验和checksum,这个可以使用lordpe完成。否则系统启动将失败!
NTICE.SYS的修改
1.查找GFu*f串,修改为XFu*f,其后的MJ修改为XJ <其实随便修改成什么都可以>
2.查找所有的Unicode字符串\NTICE,修改为\XTICE <躲过NTICE检测,注意前后一致>
3.查找Unicode字符串Bchkd,修改为Xchkd <躲过SoftIce的Boundscheck后门检测>
4.查找字符串\Driver\NTice,修改为\Driver\XTice
5.查找Kernel32!UnhandledExceptionFilter,修改为user32!MessageBoxExW <这个是我的
修改方法,必须注意的是这样做了后,SoftIce的Faults On将失效。可以躲过一些INT 3检测,自己选择要不要修改吧>
SIWVID.SYS的修改
1.查找所有的Unicode字符串\SiwvidSTART,修改为\XiwvidSTART <嗯嗯,躲过SIWVIDSTART检测>
NMTRANS.DLL的修改
1.查找字符串\\.\NTICE,修改为\\.\XTICE至此我们所作的都已经做完。再次提醒一定要修正NTICE.SYS和SIWVID.SYS的效验和!
经过上面的处理后,你的SoftIce的anti detect将大大加强。但是仍然躲不过INT 1的检测方法。
躲过INT 1检测SoftIce的方法如下:
在SoftICE里键入IDT指令,我们将获得IDTBase的值。在我的XP下总是8003F400。
然后d IDTBase,可以看到偏移为0DH处的字符是EE,我们将其修改为8E即可躲过INT 1的检测
。
XP下的可以在SoftIce的启动运行的指令里加上eb 8003F40D 8E,这样每次SI启动就自动具有了anti INT 1检测的功能。别的系统的话请多起启动确认一下是否是固定的位。
如果不是,你只有每次手动修改了。
|
