|
一个程序创建个子进程后关闭自己 附加子进程的问题
我往那个方向努力吧。。。。。。貌似要编程很厉害的 |
|
|
|
一个程序创建个子进程后关闭自己 附加子进程的问题
本来很好破解的 一个东西 居然弄个 子进程 来运行程序 估计子进程 还带壳还是怎么的 修改的数据没办法保存 对子进程做loader 我看keymaker 也没提供这功能啊、。。。。 |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
插件 是OD的 还是什么啊 指点下方向 我就研究写插件了 呵呵 |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
一共2个 wait的 下边 就 setThreadContext 和 Resum这个了 0012FC18 003DE564 /CALL 到 WriteProcessMemory 来自 FileCDPr.003DE55F 0012FC1C 00000080 |hProcess = 00000080 (window) 0012FC20 7FFDC008 |Address = 7FFDC008 0012FC24 0012FD14 |Buffer = 0012FD14 0012FC28 00000004 |BytesToWrite = 4 0012FC2C 0012FD18 \pBytesWritten = 0012FD18 0012FC30 0012FD44 指向下一个 SEH 记录的指针 0012FC34 003DE633 SE处理程序 0012FC38 0012FD30 0012FC3C 00BB2044 ASCII "MZP" 0012FC18 003DE580 /CALL 到 WriteProcessMemory 来自 FileCDPr.003DE57B 0012FC1C 00000080 |hProcess = 00000080 (window) 0012FC20 00400000 |Address = 400000 0012FC24 011C0000 |Buffer = 011C0000 0012FC28 000D4000 |BytesToWrite = D4000 (868352.) 0012FC2C 0012FD18 \pBytesWritten = 0012FD18 0012FC30 0012FD44 指向下一个 SEH 记录的指针 0012FC34 003DE633 SE处理程序 0012FC38 0012FD30 0012FC3C 00BB2044 ASCII "MZP" |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
0012FB58 003DE37B /CALL 到 CreateProcessA 来自 FileCDPr.003DE376 0012FB5C 00000000 |ModuleFileName = NULL 0012FB60 00C80250 |CommandLine = "C:\Documents and Settings\Administrator\桌面\新建文件夹1\新建文件夹\测试.exe" 这个后边 没参数啊 直接exe |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
这个 不是b.exe 是和a.exe 一个名字的 同一个exe文件 |
|
|
|
一个程序创建个子进程后关闭自己 附加子进程的问题
恩 我也想过 估计是走的 不同的路子 我有可能对子进程做loader 或者 直接加载这个子进程吗 |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
ResumeThread 调用到这个函数时候 子进程已经运行起来了 不受OD控制了 exe 文件 我用keymaker 做了一个loader 不好使。。。。 他主进程名字 和子进程名字一样 都是运行的一个exe 我不会给子进程做loader 能大概指点下吗? |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
0012FB58 003DE37B /CALL 到 CreateProcessA 来自 FileCDPr.003DE376 0012FB5C 00000000 |ModuleFileName = NULL 0012FB60 00C80250 |CommandLine = "C:\Documents and Settings\Administrator\桌面\新建文件夹1\新建文件夹\测试.exe" 0012FB64 00000000 |pProcessSecurity = NULL 0012FB68 00000000 |pThreadSecurity = NULL 0012FB6C 00000000 |InheritHandles = FALSE 0012FB70 00000004 |CreationFlags = CREATE_SUSPENDED 0012FB74 00000000 |pEnvironment = NULL 0012FB78 00000000 |CurrentDir = NULL 0012FB7C 0012FBC8 |pStartupInfo = 0012FBC8 0012FB80 0012FBB8 \pProcessInfo = 0012FBB8 0012FB84 0012FC30 指向下一个 SEH 记录的指针 0012FB88 003DE421 SE处理程序 这个就是参数吗 我看参数大部分都是空啊 运行的还是它自己 只是调用了自己程序里的FileCDPr 去创建 进程 我用这个参数 能用OD 加载吗? |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
bp CreateProcessA 可以断下来 但是 你说的 OD加载参数 我不明白 我新手 多谢指教 |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
他的主进程 创建了子进程后 自己就关闭了 我能给子进程做loader吗? 主进程和子进程名字是一样的 但是进程pid不一样 给主进程做loader 运行一下 就关了 没啥用 |
|
一个程序创建个子进程后关闭自己 附加子进程的问题
我有尝试了下 用OD附加进程 有的能保存 有的保存不了。。。。。 还有就是我这个子进程附加到OD时候 提示 32位可执行文件的格式错误或者未知 但是载入后 还能继续运行的 就是修改的代码 保存说是定位不了数据 |
|
制作内存补丁的问题
可不可能实现 就是 修改正在使用的 内存 就像loader那样的 |
|
制作内存补丁的问题
这个关键点 就在这了 改了 一定会出错吗? |
|
制作内存补丁的问题
是这东西 不能修改吗? |
|
制作内存补丁的问题
或者说 这样的汇编代码怎么写 就是比如说 66009958 /0F84 DA020000 je MSVBVM60.66009C38 6600995E |81F9 D0B37F02 cmp ecx,27FB3D0 66009964 |0F84 FFB50600 je MSVBVM60.66074F69 6600996A |81F9 A050A040 cmp ecx,40A050A0 66009970 |0F84 B9B50600 je MSVBVM60.66074F2F 66009976 |81F9 31845DD3 cmp ecx,D35D8431 6600997C |0F84 73B50600 je MSVBVM60.66074EF5 66009982 |81F9 603D0BDF cmp ecx,DF0B3D60 66009988 |0F84 2DB50600 je MSVBVM60.66074EBB 6600998E |81F9 C1D73AE9 cmp ecx,E93AD7C1 66009994 |0F84 75020000 je MSVBVM60.66009C0F 6600999A |8B7D 08 mov edi,dword ptr ss:[ebp+8] 6600999D |8B47 28 mov eax,dword ptr ds:[edi+28] 660099A0 |3B88 AC000000 cmp ecx,dword ptr ds:[eax+AC] 660099A6 |74 7D je short MSVBVM60.66009A25 上边跳到底下以后 下边可以什么命令 删除上边的命令 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值