読者です 読者をやめる 読者になる 読者になる

Log.i53

Themidaのアンパックを目指すブログ改め使い物になるえんじにゃを目指すブログ

AntiDebug技術:OllyDbg:OutputDebugString() Format String Bug

Unpack Anti-Debug

 このデバッガ攻撃テクニックはOllyDbg特有のものです。OllyDbgにはフォーマットストリングバグという脆弱性があることが知られており、これを利用することでOllyDbgをクラッシュさせるかまたは任意のコードを実行させることができます。このバグはkernel32!OutputDebugString()に不適当な文字列が渡されることでトリガーされます。このバグはOllydbg v1.10のバージョンに存在しており、パッチが行われていません。

 OllyDbgでアクセスバイオレーションのスローまたは予期しない終了を引き起こす簡単なサンプルを示します:
f:id:i53:20150609050720p:plain

解決策

 kernel32!OutputDebugStringA()のエントリに即座にRETNを実行するようなパッチを加えましょう。