CheckMe 06: 父与子(双进程调试地狱级)
一、题目背景 这是一个高级 CheckMe,模拟了诸如 Armadillo 等商业强壳中极其恶心的双进程保护机制(纳米技术)。
-
难度: ⭐⭐⭐⭐⭐(高级强对抗)
-
适合人群: 学习高级反调试、致力于攻克商业保护外壳的学员
-
训练重点:
-
Nanomites 技术底层原理
-
双进程附加限制与绕过手法
-
跨进程内存通信与 INT 3 (0xCC) 异常分发机制
-
二、程序说明
-
平台: Win32 x86
-
类型: 控制台程序
-
是否加壳: 无壳 (但采用了模拟强壳行为的代码剥离技术)
-
目标: 搞清楚到底是谁在做校验,并解出最终密码 “NANO”。
三、解题提示
-
直接用调试器附加进程?你会收到一个系统的“拒绝访问”报错。
-
负责接收输入的代码里到处都是会引发崩溃的
0xCC,而且完全没有密码比对逻辑。 -
真正的裁判其实是“爸爸”进程,去调试父进程,看看它在捕获异常后修改了什么寄存器。
答案提交要求:
1.先让程序能够正常输入
2.然后程序能够提示:[Child] Validation Passed! Code is correct.
校验思路
父进程以 DEBUG_ONLY_THIS_PROCESS 启动自己作为子进程。子进程的校验代码中布满了 INT 3 (0xCC)。父进程捕捉这些异常,决定子进程的 EIP 走向。
下载
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容