<![CDATA[海风月影]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/depteicn zh-cn www.baidu.com 5 <![CDATA[一夜之间,夏天变冬天啊]]> 类别:Unknown 查看评论]]> 2009-11-02 09:37 http://hi.baidu.com/depteicn/blog/item/9787aff86259db05d9f9fd87.html <![CDATA[国庆六十华诞礼物 - TheMida/WinLicense主程序破解(通杀v1.8.9.0以后所有版本)]]> 想想还是发了吧,引用heXer的话:独乐乐不如众乐乐

http://www.unpack.cn/viewthread.php?tid=40365


类别:Crack 查看评论]]> 2009-09-10 10:20 http://hi.baidu.com/depteicn/blog/item/ca770eede6f675ddb21cb137.html <![CDATA[滴水双机VT调试器试用版1.3文件组成分析报告(超级粗浅版本)]]>
用解包工具解压安装包,将文件解出来

有如下目录和文件:

VSI      -- 这个是目录,里面不用说了,全是Virtual SoftICE的驱动(非DT原创)

drivers.lnk    -- 快捷方式
DTSettings,1.exe  -- DT调试器设置工具
DTSettings,2.exe  -- 如果安装,只会出现一个
Log.txt      -- 运行打印的信息
LoidSI1394.sys    -- Virtual SoftICE的1394驱动(非DT原创)
LoidSI8139.sys    -- Virtual SoftICE的8139网卡驱动(非DT原创)
LoidSiCore.sys    -- Virtual SoftICE的核心驱动(非DT原创)
LoidSiSerial.sys  -- Virtual SoftICE的Serial RPC驱动(非DT原创)
SI8139.dll    -- Patch Virtual SoftICE的核心驱动用的
SICore.dll    -- Patch Virtual SoftICE的8139网卡驱动用的
SiSerial.dll    -- Patch Virtual SoftICE的Serial RPC驱动用的
SIVNIC.inf    -- Virtual SoftICE的虚拟网卡驱动安装的inf(非DT原创)
SIVNIC.sys    -- Virtual SoftICE的虚拟网卡驱动(非DT原创)
VMXCMD.txt    -- 配置文件
vwx86.sys    -- VMWare 4.5.1的驱动
X86Hello.dll    -- #1,开VMWare虚拟机用的,具体怎么用还不清楚
X86World.dll    -- #2,开VMWare虚拟机用的,具体怎么用还不清楚
vmxcpux.sys    -- VT的主驱动
X86WDri.sys    -- 和上面的VT的主驱动一模一样(下面说)


上面可以看出来,DT的东西是:3个patch VSI驱动用的东西,VT的主驱动,和开启VMWare虚拟机用的东西。其他不是Compuware公司的就是VMWARE公司的。

好了,下面我仔细发掘了一下vmxcpux.sys和X86WDri.sys两个驱动,别看这两个驱动都有1.9M,其实,这两个驱动是一个驱动。

用WinHex比较一下两个驱动,发现,不同点基本上集中在data段。于是,用winhex搜索一下MZ标记,发现
vmxcpux.sys里面有2个内嵌的PE文件,抓出来后发现1个是SiCore.dll,1个是SiCore.sys
SiCore.dll比上面那个SICore.dll大一点,不过用处是一样的,而SiCore.sys和上面的LoidSiCore.sys是一模一样 的,大家可以自己比较一下。然后我把vmxcpux.sys里面的这两个PE抓出来后,文件的位置全部清0,X86WDri.sys相应位置就2个MZ的 头其他都是0,我把MZ头清掉,然后另存一下。然后用winhex比较一下两个文件,发现就2处不一样,一处是PE头里面的CheckSum,一个是 data段的一个标记。原来两个文件是一模一样的。。。。。。

更加另外意外的是下面:我把两个文件保存完后用rar打包打算传上来,发现压缩后才19KB。。。
于是,用LordPE优化一下剥离两个PE之后的vmxcpux1.sys,惊现优化后大小:16KB!!

2个1.9M的驱动,剥离了2个PE,居然一模一样,而且实际大小只需要16KB,太强大了

小结一下:
除了VT部分是自己写的,其他部分都需要依靠VSI和VMWare运作,VT部分多大呢?16KB就足够了


另外上面标记的#1和#2还不懂是怎么用的,但是肯定和开启VMWare有关系,等研究过了再讨论



附件是我剥离的2个PE,以及剥离后优化过的文件
SiCore.sys和SICoreInter.dll是剥离出来的
vmxcpux1.sys和X86WDri1.sys是剥离完上面两个文件后重新计算了CheckSum的驱动文件
优化 vmxcpux1.sys是上面的vmxcpux1.sys用LordPE优化了一下的结果

下载地址:
附件点我 阅读全文
类别:Debug 查看评论]]> 2009-08-28 22:13 http://hi.baidu.com/depteicn/blog/item/9757e0c2d74c0c120ff4777b.html <![CDATA[管理员账号下直接提升管理员权限]]> 管理员账号下直接提升管理员权限

以前写的,防止忘记了,对win7同样有效

效果是,如果当前用户是管理员,运行时候直接提升权限,不需要确认。当然,执行这段代码需要提升权限

#include <windows.h>
#include <stdio.h>
#include <shlwapi.h>

#pragma comment(lib ,"shlwapi.lib")

int main()
{
DWORD a;
a = 0;
HKEY hKey;
LONG res;
RegOpenKeyA(HKEY_LOCAL_MACHINE,"SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System",&hKey);
res = RegSetValueExA(hKey,"ConsentPromptBehaviorAdmin",0,REG_DWORD,(BYTE*)&a,4);
printf("res : %X",res);
RegCloseKey(hKey);

getchar();

return 0;
}

阅读全文
类别:Code 查看评论]]> 2009-08-20 14:16 http://hi.baidu.com/depteicn/blog/item/0ed4ce824d258f99f603a696.html <![CDATA[关于滴水的VT调试器]]> 关于滴水的VT调试器 by 海风月影

论坛上今天吵的比较火热,主要是关于滴水的VT调试器,很多人不了解这个东西,我对Intel的VT技术略有了解,所以我来简单的介绍一下。

第一,什么是VT技术

VT是Intel的硬件虚拟化技术,说到VT,就不得不提虚拟机(例如VMWare)。在硬件还没有支持VT前,系统级的虚拟机其实是很难做的,要考虑的 东西非常多(主要是效率问题,因为用软件模拟东西资源开销比较大)。VT技术主要就是为了解决这个问题而诞生的,有了VT后,可以减少非常多的资源开销, 让虚拟机的速度接近于真机速度。

OK,那么VT到底是个什么技术呢?
首先要说一下VMM(Virtual Machine Monitor),这个是虚拟机的监控器,监控着虚拟机的运行。比如虚拟机想执行一条指令:cpuid,这个时候被VMM捕捉到,然后VMM去模拟执行这 条指令,然后返回给虚拟机,完成了一次vm exit。因为VMM需要执行ring0的指令,所以VMM需要运行在ring0下。
而VT使得CPU进入了一个全新的特殊模式(VMX模式),在这个模式下,CPU可以处于VMX root状态或者VMX non-root状态。处于VMX non-root操作状态下的CPU行为受到了某些方面的限制,关键的共享资源必须运行于VMX root操作状态的监控器的控制之下,并且,对于VMX non-root状态中的任何CPU特权都有效(只要处于VMX non-root状态,ring0 - ring3 都被监控)。因此,将VMM运行于VMX root操作状态,可以轻松监控管理客户操作系统(就是安装在虚拟机里面的操作系统)和客户应用程序(虚拟机里面操作系统里面安装的软件)。

大家可能被绕晕了,我举个例子简单解释一下上面最后一句话
比如:
一个虚拟机,里面装了winxp系统,系统里面有一个记事本程序
OK,winxp内核肯定要运行于ring0,而记事本肯定要运行于ring3,那么VMM怎么高效得管理这两个特权呢?
比如,POPFD这条指令,可以修改EFLAGS的IF位,即中断允许位,但是,在ring3下,是无法修改的。所以,VMM需要先判断客户机处于哪个特 权级别(ring0?ring3?),如果ring0就可以修改,如果ring3就拒绝修改。这样的过程就有开销。而VMX non-root状态对任何CPU特权都支持,因此,VMM可以让客户机完全在真实CPU上执行这条指令,不需要考虑这条指令执行后结果会不会出现问题。

简单的说:VT是为了减少虚拟化技术带来的性能开销而开发的硬件虚拟化技术,尽量消除关键指令和关键共享资源(比如内存的访问)的影响。而全新的VMX模式,可以使CPU运行于一个受监控的VMX non-root状态。

具体的VT技术的实现非常复杂,这里就不说了


第二,VT技术和调试技术
首先简单介绍一下调试技术
SoftICE通过给软件代码写入CC(int 3指令),使软件触发BP异常,CPU会调用INT 3中断,而SoftICE hook了系统的INT 3中断,在第一时刻捕获到了BP异常,引发了中断。
单步的话也是改EFLAGS中的TF位,执行后,CPU会调用INT 1中断,而SoftICE hook了系统的INT 1中断,引发了中断。同理还有DRx的设置,引发硬件断点。

有这些中断,SoftICE在中断后可以捕捉当前CPU状态,显示内存内容,就可以进行调试了。

OD的调试就比SoftICE简单多了,OD使用windows的调试功能,最终还是要用到INT 1 / INT 3中断。


所以说,调试功能中,INT 1 / INT 3中断是很重要的。检查一下INT 1 / INT 3可以检测到SoftICE。直接hook掉,OD / SoftICE都用不了了。

然后是VT,上面已经说了VMX non-root模式在任何特权下都可以被VMM监控,其中包括了异常部分。
比如说,在VMX non-root模式,软件触发BP异常,(在VMCS设置了的情况下),CPU不会去执行INT 3中断,而是引发vm exit,即把控制权交给了VMM,VMM就可以像SoftICE一样处理异常,然后再返回到VMX non-root状态,CPU根据设置执行(如果没有设置,CPU会去执行INT 3中断)。同样INT 1也是这样。

这样的好处显而易见,在触发了BP异常后,CPU的第一时间控制权是在VMM手中,而不是INT 3中断上面。所以可以无视hook或者检测。由此,可以达到调试的目的。


第三,DT调试器的基本原理
DT调试器目前是双机的,Host用的是VSICE,Target是自己的驱动(即VMM),两者进行通信,达到调试的目的。


第四,关于ANTI DEBUG
前面对VMM部分说的还算清晰,因此,目前看来基于VT的调试器可以躲过市面上所有的anti,这点大家不用怀疑了,不用再去叫作者测试什么什么了,没有难度的。


=============================================================================================================================================
上面说的是一些基本的概念,下面说一下我对DT调试器的看法
=============================================================================================================================================

这里说的都是我的个人观点

首先,不可否认,这个东西很新颖,基于的调试原理点非常底层,反ANTI能力非常强大。
但VT技术用到调试器上并不是无敌的,毕竟,开了VMX的机器还是可以用比较猥琐的方法检测的,想灭掉所有猥琐检测方法是要下很大的功夫的,DT调试器 1.1版本我拖到IDA里面简单看了一下,是可以被anti的,1.3不知道有没有修复掉。这里我不公开anti方法,因为公开了,作者就可以修复,而且 作者花了大工夫,是可以处理掉的。

但是,作者有些东西没有告诉大家,这里我说一下:
VT技术最早从2004年就公开了,这个技术一直到今天,一直还在研发。为了兼容性,Intel给VT技术加了一个版本号,大家可以参考Intel的手册,对于不同版本的CPU,支持VT的技术多少是不一样的。
我举个例子,VT里面可以监控下面这条指令(也就是说VMX non-root状态执行了这条指令,就会被VMM监控到)

SIDT (这条指令是读取IDT向量地址的,要隐藏IDT HOOK,监控这条指令是非常方便的吧 ^_^ )

但是,不是所有CPU都支持这条指令的监控,这个需要检查一下CPU是否支持这个功能,才能够使用。

这样看来,低版本的CPU即使开了VT,也不一定有一些强大功能,尤其是内存部分的监控功能,强大的内存监控部分需要的VT版本号比较高。

所以说,随着以后DT调试器功能越来越多,你也必须跟着升级CPU,否则,某些功能很可能无法使用。



然后,以个人观点说一下DT调试器的前景
1,会用双机调试的人很少,而且双机中需要有带VT的CPU也是比较少的,所以,双机调试没有单机调试来的普及。
2,买了一个DT调试器,用的却是VSICE的界面,心理爽不爽呢?
3,DT调试器的亮点是反ANTI。哪些东西的ANTI比较强大?ring3的程序,可以说ANTI基本上都被灭了,因此,当前情况下,网络游戏的保护系统就是ANTI最强的东西。所以,DT调试器直接对口的人群是涉及网游的人。

涉及网游的人有这几部分:
1,能对付网游保护系统的,这部分人对付网游保护系统的方法一般都是非公开的,因此,研究出方法可以用很长很长时间。反ANTI这个功能对这部分人来说没有什么太大诱惑
2,对付不了网游保护系统的,这部分人一般都是做外挂的(反外挂的人如果调试自己公司游戏对付不了,可以申请剥离保护系统版本去调试,如果是调试其他公司 游戏,可以归到做外挂部分中),而成熟的做外挂的团队,对于各个保护系统都是非常熟悉的,所以这部分人肯定不是专业团队,是散户,散户的特点是技术还不够 强大,资金比较少,那么DT这种双机调试器,即使买来了也不一定用得很好,所以就会出现观望,或者由于资金问题不买。

所以,DT调试器可能卖给上面第二部分的人或者第一部分人嫌麻烦了,直接买一套。

上面我说到了VT调试器的反ANTI能力很强大,但是不是无敌的,尤其和CPU型号关系非常大,所以,为了过ANTI买调试器的人会考虑到,做网游保护系统的人也可能研究这部分技术,想办法来anti,那
么自己买的东西未必能100%解决问题,这样就加大了观望态度。




最后,我自己YY一下,VT技术本身不是用来调试的,未来Intel公司有可能加入检测VMX模式的功能?
这样VT调试器的反ANTI功能直接就没有意义了。


by 海风月影
2009.08.19
 阅读全文
类别:Debug 查看评论]]> 2009-08-19 22:27 http://hi.baidu.com/depteicn/blog/item/5b38bfed4cf2c04679f05507.html <![CDATA[Holy Shit (三)]]> 今天先show一下 themida,明天show Code Virtualizer

没有最新版,只能show一个过期版本了,当然,肯定支持最新版


类别:Crack 查看评论]]> 2009-07-20 14:51 http://hi.baidu.com/depteicn/blog/item/dbd00d54f92fba5d564e00bd.html <![CDATA[Holy Shit (二)]]>

类别:Crack 查看评论]]> 2009-07-12 23:05 http://hi.baidu.com/depteicn/blog/item/a6c37ef3f89db859352acc83.html <![CDATA[Holy shit]]>


类别:Crack 查看评论]]> 2009-07-10 23:32 http://hi.baidu.com/depteicn/blog/item/81e0d3dd76b3e63d5882dda0.html <![CDATA[关于war3 maphack(四)]]> 一开始是把关键点暴露在外,现在完全被vm了,看来强度完全依靠vmp啊
不过还是可以patch,私人版mh肯定无法阻挡
但是公开不容易做,思路还是有的,修改xxxx,和官方来差距战就可以了

还是终极法好:patch vmp的pcode,让官方都不知道怎么破解的,不过这条路比较难,暂时还没时间弄这样的工具

VS:不说了,1个多月了,依然有效,不过也不奇怪,私人版的很难防

浩方:漏洞太多了,也不说什么了

GG:哎,ring3就能干掉驱动级的了,更没什么说了的,更何况,用无耻的占坑大法,驱动想起都起不来,哎。。 阅读全文
类别:Crack 查看评论]]> 2009-06-18 00:09 http://hi.baidu.com/depteicn/blog/item/19e099541a1f9f51d0090679.html <![CDATA[TesSafe的进程读写]]> Tessafe hook了KiAttachProcess(未导出函数),防止进程内存读写

终极法:自己切换cr3,强行读取,几乎无懈可击,不过潜在蓝屏可能性比较大

绕过法:head的inline hook,因此。。。执行前几个字节,然后jmp 到后面执行,太麻烦了,不爽

漏洞法:这个比较有趣,先KeAttachProcess(xxx1),然后就可以KeAttachProcess(dnf.exe),然后读写进程,然后KeDetachProcess(),KeDetachProcess()。有人会问:xxx1是什么呢?我不告诉你~

很帅,很猥琐吧~~

阅读全文
类别:Security 查看评论]]> 2009-06-09 17:23 http://hi.baidu.com/depteicn/blog/item/52649d3361f0264bac4b5f55.html