|
|
|
[求助]OD 硬件断点在多线程中不起作用?
终于有人回复了。。。 我当时也是想硬件断点应该会与线程相关,但当我在程序运行期,下 hw 硬件断点,OD 是可以断下的,此时似乎是在所有线程中都设置了这个断点。 我不解的是这两种操作,OD 难道是区别对待的? |
|
[原创]从零开始的反反调试日志
1、 虚拟机中,OD 附加对象进程,有一个附加按钮可以追踪。 我实际中是取巧了,在网上搜索了一下附加进程所用的API,结果就是DebugActiveProcess 2、 OD 失败路径,就是从 DebugActiveProcess 开始。 我这里做了一个例子: OD 附加 测试程序 A 正常情况下OD附加成功的路径为 S 当 A 被其他进程用 Debug 权限打开后,OD 附加失败的路径为 B 对比 S 和 B ,就知道在 DebugActiveProcess 上下,哪里的返回值有错。 最终对比 OD 附加游戏时的路径,基本上就可以确定问题出在哪里。 至少 OD 知道附加失败了,它自己也会弹出一个对话框来。 我这里不是说 DebugActiveProcess 有问题,而是说从这条线索上去找 OD 附加进程这个动作为什么会失败的原因。 实际上好像也不是 DebugActiveProcess 失败,而是 它下面的其他 API 调用失败。 3、 我用 Windbg .dump 指令得到的是一个windows 完全的内存块,IDA 可以直接解开... 4、 这个给的代码中有,但要完全解释,没这个功力,可以翻一下论坛中关于 windows异常分发 的帖子 |
|
[原创]从零开始的反反调试日志
驱动加载的代码已发,游戏部分的几个反调试部分,根据日志里的信息,可以自己做针对性的编码。 |
|
[原创]从零开始的反反调试日志
自制的驱动加载工具 驱动部分写的很简单,删除了针对游戏的代码,保留了3个win7 系统下的基本例子,检索eprocess、内核模块、win7下几个debug标志位的切换。 做这个工具的主要目的,是当我需要针对游戏的 debughide 什么的做恢复,希望能只真加一个写个 redebughide() 函数,然后直接在应用层去调用这么个函数。方便测试用。 最终效果是: 1、编写 redebughide() 函数 2、给它定义功能号 #define IOCTL_CODE_REDBUGHIDE (ULONG)CTL_CODE(FILE_DEVICE_UNKNOWN,0x906,METHOD_BUFFERED,FILE_ANY_ACCESS) 3、 在 InitIOServer 函数中,加入信息,通知用户程序 myServer[3].dwEx = IOCTL_CODE_REDBUGHIDE ; wcscpy_s(myServer[3].strDescribe,L"枚举线程,恢复DEBUGHIDE"); 4、在 DRVWIN7_DispatchDeviceControl 函数中添加回调 case IOCTL_CODE_REDBUGHIDE: { KdPrint(("==== DRV_REDEBUGHIDE ====")) ; Debughide () ; Irp->IoStatus.Status = STATUS_SUCCESS ; } break ; 这样,我就能更多精力放在功能函数的实现上,而不管用户层的东西 |
|
|
|
|
|
|
|
[原创]都不够给力,我来个给力的,手把手一起写现在某热门游戏的跑钱外挂(一)(二)(三)(四)
我当时用按键精灵修正大话3的鼠标: 从 0,0 移动到 5,5 模拟人的移动,0,0 -> 2.5 , 2.5 -> 3.5,3.5 -> 4,4 -> 5,5 无视他的鼠标漂移 |
|
[原创]关于壳中APIHOOK的一点点解析
不错,自动动手改函数返回值 |
|
[原创]关于壳中APIHOOK的一点点解析
_MyMessageCustom proc hWnd:dword,buff1:dword,buff2:dword,Code:dword 为了防止在用户在 MessageBox 函数头下断点,而且静态反汇编也无法直接显示它调用了MessageBox,增加一点麻烦。 db 6Ah ,0Ch ,68h,60h,0FFh ,0B9h,77h,0E8h ,0D0h,83h,0FAh ,0FFh ,33h ,0DBh ,53h ,6Ah ,01h ,8Dh ,45h ,0E7h ,50h ,6Ah ,11h ,6Ah ,0FEh ,5Eh ,56h ,0E8h ,0C4h ,6Ch ,0FAh ,0FFh 这个代码不知道你是用来做什么的,为何有一个 0CCh (int 3)? |
|
[招聘]珠海金山诚招反病毒工程师
有学历要求没? |
|
[原创]从游戏外挂的角度谈逆向工程
只能说技术不断在提升,较量在深入,不过现在3d越来越漂亮,不大可能在图形引擎里搞VM,所以个人觉得漏洞也会越来越难补。 VM、破保护,不再是外挂的专项了,成了公共课了。 |
|
[招聘]腾讯 高薪招聘PC客户端开发以及手机客户端开发
看到api了,你直接写显存就算精通了,这个只能算熟练 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值