|
加载程序的时候自动关闭OD
试试http://bbs.pediy.com/showthread.php?t=71366里的方法 |
|
[突破]天天用的软件,居然使OllyDbg各种断点失灵!到底是什么技术?新突破
楼上的解答大家都看到了,最后仍留下了两个疑问。处于好奇本人有继续研究了一下瑞星的账号保护工具。账号保护工具本来的目的是保护一些著名的商业软件。防止Cracker攻击,外挂篡改,键盘监听等等。也包括恶意关闭和内存篡改。 经过我的努力,两个问题仍没有结果。但是我突然在想为什么OllyDbg不是著名的软件呢?为什么瑞星不保护我的这个知名工具呢?欲善其功,必先利其器。我不求利,只求我调试的时候不被破坏(例如加载一些变态壳的时候,直接退出,好像很多人都在问这个问题。)好了,下面看一下我做的试验。 首先我先打开我的账号保护工具,我想通过自定义增加,把OllyDbg加到保护列表中。打开后我发现根本没有他妈的自定义增加(对不起有些失礼,主要是太可气了! ),放弃自定义的想法。接着看了看受保护的几个软件QQ,Tm,跑跑。发现有个修改路径的功能,但是只能针对能够保护端软件进行修改路径。 尝试把跑跑的路径改成OllyDbg路径,失败!说该路径下没找到跑跑程序!他是怎么找到程序的呢?(名字,数字签名,还是其他的什么)先不管了,把OllyICE改名为KartRider.exe,并将所有OllyDbg文件拷贝到跑跑目录里。接着在保护工具里重新选择跑跑。成功了!!!!!!!!成功了!!!!!! 后来想想也是,由于游戏程序更新比较频繁,除了用名字定位外,很难提供其他的方式定位。 好了,既然瑞星识别了,那我们需要测试一下到底好不好用。为了能测出效果,我用了一下几种测试方法,还是满有意思的: 1、利用保护的OllyDbg调试一个外挂,正常情况是一加载就自动退出OllyDbg。 2、利用未保护的OllyDbg调试保护的OllyDbg。 3、利用保护的OllyDbg调试保护的OllyDbg。 4、利用保护的OllyDbg调试保护的其他程序。 5、利用保护的OllyDbg调试未保护的OllyDbg,用未保护的OllyDbg调试受保护的OllyDbg。 结论如下: 1、外挂不能结束OllyDbg了,能够正常加载了,我的系统仍不能在模块内调试(有的程序就能),不解..高手解答。 2、断点全部失灵(如我所料)! 3、能够调试,奇怪中.... 4、能够调试,同上 5、断点全部失灵! 总结一下,受保护的OllyDbg(一下简称强OD)抗干扰能力特别强,应该能强于StrongOD(我猜的)。但是为什么强OD能调试其他受保护的程序有些不解。强OD所调试的程序并不处于保护之内,为什么目前也不清楚。这条推论从第五条得知,也请大家仔细体会第五条的目的。虽然OD变得更抗干了,但我仍不知道会不会影响OD的正常工作,希望大家积极测试,有结论告知一声。 |
|
[突破]天天用的软件,居然使OllyDbg各种断点失灵!到底是什么技术?新突破
问题找到了,线索还是多亏楼上的提醒,换台机器后发现另一台的机器的跑跑卡丁车能够使用F2开关断点了(我是指F2能够使用,能不能断下看下文),然后有些奇怪和沮丧 。 奇怪的是为什么他的机器好用,人品问题(我将大部分此类问题归结为人品问题^-*)。然后在这台机器上继续调试,因为调试起始断点在系统断点,所以Ctrl+F12来到主模块领空,发现当在主线程中按F8后,OllyICE顿住了,几秒后弹出一个提示框大体意思是OD注入代码没成功,要再等5秒,确定后进入等待的死循环,沮丧ing..... why?看了下屏幕的右下角是NOD32,我的机器是瑞星2007(前文提到过)。我的思绪又回归到人品问题的本质上来,开始怀疑是不是两台机器的杀毒软件造成了这些奇怪的问题呢? 回到我的机器上来,打开瑞星2007,看了看监控(文件,邮箱,网页监控)好像没有一个和内存有关,再看防御(系统加固,应用程序访问控制,程序启动控制,恶意行为检测等全部打开中)昨天都关掉过也没有用。最后一个工具(账号保险柜...),账号保险柜?这个东西怎么用,从来没注意过,打开,发现卡丁车,TMShell.exe,QQ全部在里面,并且显示已开启保护,看来这东西起来后就开始保护程序了(其实这个想法是错误的!这东西从装完瑞星后就一直启动,并且在你第一次运行游戏时自动添加到保护列表中),点击关闭保护,回到OD调试TMShell.exe!哇。。 没有提示断点失败了,原来凶手就是它。 下面让我们看看这个牛逼的账号保险柜: 瑞星“账号保险柜”利用主动防御技术自动屏蔽木马、病毒常用的多种恶意行为,包括注入DLL、内存被篡改、注入代码、挂起、强制结束程序、键盘监听等。如果用户感觉不够安全,还可以选择更多的保护规则。软件受保护之后,瑞星就会通过主动防御体系实时监控所有的不安全行为,自动加以屏蔽,用户的账号密码就相当于放入了保险柜,使那些试图窃取账号密码的木马、病毒、恶意软件等无可奈何。 看到了吧,这个账号保险柜非常的厉害,而我们是被防止”内存被篡改“卡住的,以至于WinDBG都卡住了。下面我们重新审视一边TMShell.exe,跑跑卡丁车这两个程序。 TMShell.exe确实无壳,而且也没有TLS功能。跑跑卡丁车有壳有TLS功能,但TLS并不保护内存,清空后程序启动直接失败!原因待续。。关于主模块调试F8卡住的问题仍然不解,怀疑可能还是杀毒软件的问题,待续解答。 最后提醒喜欢调试的朋友,小心你的杀毒软件。他对于我们是一把双刃剑。当你扮演Cracker时最好使用没有杀毒软件的操作系统,不要让它成为鞋里的沙子! 2008-08-27又有新的突破,10楼请关注。 |
|
[突破]天天用的软件,居然使OllyDbg各种断点失灵!到底是什么技术?新突破
不是TLS在做怪,因为TMShell.exe里TLS table 为空。跑跑卡丁车的TLS table清空后仍然不能下断点。关于楼上说的调试寄存器的说法,我想也不太可能。问题的关键在于程序加载时,od和windows到底做了那些工作。 |
|
[突破]天天用的软件,居然使OllyDbg各种断点失灵!到底是什么技术?新突破
英文版,中文版,繁体中文版,各种版本都不可以,而且还包括静态反编译的W32dsm89,对他甚至不能直接静态反编译,必须要用C32asm才能看到代码。我对PE不了解,是不是PE被做了某种修改。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值