能力值:
( LV5,RANK:70 )
|
-
-
2 楼
我的也是,据说是那个从调试器隐藏线程的标志被置位了
|
能力值:
( LV3,RANK:20 )
|
-
-
3 楼
试试call 7号函数
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
试试call 7号函数?
什么意思
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
看看Hide your DebugPort in ring0
http://bbs.pediy.com/showthread.php?t=80971&highlight=hide+debugport
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
调试端口我改了, 楼上说的那篇帖子我看了,以下是那帖子最后的一段,
我想再啰嗦一下,上面代码大家看到很多函数有个NOPCode,这个实际上是对付线程PS_CROSS_THREAD_FLAGS_HIDEFROMDBG的,NOP掉相关地方后,就算线程被设置为ThreadHideFromDebugger也无法阻挡调试器接收调试信息。
对于这里的我就没看明白,不知道到底哪些地方要NOP掉,有谁知道吗?谢谢
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
hs一般加了themida,修改线程调试标志是themida做的。这个很容易过,hook ntdll中的Set函数就Ok了。HS自己的本身还利用驱动的方式修改了Debug port,这个直接修改它的驱动代码,跳过他就行了。
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
7号函数是用来停掉HS的
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
非常感谢你的回答,请问我现在下断点没效果,是什么原因呢
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
你说是用来停掉HS的,没说什么事7号函数啊,是在什么模块里还是在哪里的一个函数,有名字没?
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
有哪位大侠能介绍下,od下断点,都用了哪些函数,经过了哪些过程吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
ThreadHideFromDebugger
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
新版HS的7号函数貌似不能调用了,执行了也没效果。莫非只能自己写驱动去搞它了?!有没有ring3的方法啊。。。
|
能力值:
( LV12,RANK:760 )
|
-
-
14 楼
TMD的SET要和谐~
|
能力值:
( LV4,RANK:50 )
|
-
-
15 楼
lpk.dll hook set
|
能力值:
( LV5,RANK:70 )
|
-
-
16 楼
我有和LZ同样的问题,用驱动把ThreadHideFromDebugger标志修改后也不能下断点,希望高人解答
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
还有其他的详细点的答案吗?
|
能力值:
( LV5,RANK:70 )
|
-
-
18 楼
帮LZ顶起来
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
hook SetThreadInformation,发现参数是hidefromdebugger就直接跳过
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
打酱油!!!路过!
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
顶起来
我现在隐藏了debug port,也hook了NtSetInformationThread,发现参数是hidefromdebugger就直接跳过,但是还是不能下断,高手提示提示啊。
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
顶一下,期待高手给个详细答案
|
|
|
|
