[求助][求助]软件创建新进程问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2 楼新进程的exe入口点改int3保存，将OD设为默认调试器，OD里面不能设置传递int3。启动软件，新进程会出错，问你要不要调试，点调试OD就附加进去了，这时再把入口的int3改回来。如果F9还是不能正常运行，可以先F7或F8一次将这次的int3异常过掉。 2010-6-24 09:07 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 3 楼谢谢指点，我先试试！ 2010-6-24 14:10 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 4 楼刚才试了，没成功，在什么时机用OD载入启动的进程？ 2010-6-24 15:03 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 5 楼上传下程序，帮看看是什么原因？ 2010-6-24 15:29 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 6 楼大体明白了，他是把自己做成了一个服务来启动的，在服务里点启动就可以启动程序了，怎样来调试这个服务？ 2010-6-24 15:46 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼貌似没有什么好方法调试服务程序，不过或许可以直接跟踪调试。先到服务管理里面看一下该服务器有没有参数，把参数加上直接扔OD里面，下断StartServiceCtrlDispatcher，去MSDN查这个函数，断下后可以到栈上面根据指针得到回调函数地址，伪造该回调函数的参数，直接把EIP设置到此函数入口。下断RegisterServiceCtrlHandler，断下后，正常运行的话会返回非0，但是现在是强制手段，应该是返回0，不过这是一个表示服务状态的句柄，可以强制改为非零，然后下断SetServiceStatus，它会传入刚才强制修改的那个句柄值作参数，强制修改其返回值为非0，这样在程序退出前，下面运行应该都没有问题了（退出时有问题也不用管它了）。 2010-6-25 10:06 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 8 楼镜像劫持。。。。。。 2010-6-25 11:46 0
落寒雪币： 156 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	落寒 9 楼注册表有个地方可以设进程的调试器吧，然后用windbg吧，od调不了ring0服务的 2010-6-25 18:25 0
moodykeke 雪币： 496 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 242 粉丝 0 关注私信	moodykeke 10 楼静态分析同问对于利用svchost.exe、Rundll32.exe启动的dll，如何动态调试？ 2010-6-25 22:16 0
myrrb 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	myrrb 11 楼学习啦，嘿嘿！ 2010-7-23 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2 楼新进程的exe入口点改int3保存，将OD设为默认调试器，OD里面不能设置传递int3。启动软件，新进程会出错，问你要不要调试，点调试OD就附加进去了，这时再把入口的int3改回来。如果F9还是不能正常运行，可以先F7或F8一次将这次的int3异常过掉。 2010-6-24 09:07 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 3 楼谢谢指点，我先试试！ 2010-6-24 14:10 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 4 楼刚才试了，没成功，在什么时机用OD载入启动的进程？ 2010-6-24 15:03 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 5 楼上传下程序，帮看看是什么原因？ 2010-6-24 15:29 0
WANGZHE 雪币： 284 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 34 回帖 112 粉丝 1 关注私信	WANGZHE 6 楼大体明白了，他是把自己做成了一个服务来启动的，在服务里点启动就可以启动程序了，怎样来调试这个服务？ 2010-6-24 15:46 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼貌似没有什么好方法调试服务程序，不过或许可以直接跟踪调试。先到服务管理里面看一下该服务器有没有参数，把参数加上直接扔OD里面，下断StartServiceCtrlDispatcher，去MSDN查这个函数，断下后可以到栈上面根据指针得到回调函数地址，伪造该回调函数的参数，直接把EIP设置到此函数入口。下断RegisterServiceCtrlHandler，断下后，正常运行的话会返回非0，但是现在是强制手段，应该是返回0，不过这是一个表示服务状态的句柄，可以强制改为非零，然后下断SetServiceStatus，它会传入刚才强制修改的那个句柄值作参数，强制修改其返回值为非0，这样在程序退出前，下面运行应该都没有问题了（退出时有问题也不用管它了）。 2010-6-25 10:06 0
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 8 楼镜像劫持。。。。。。 2010-6-25 11:46 0
落寒雪币： 156 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 79 粉丝 0 关注私信	落寒 9 楼注册表有个地方可以设进程的调试器吧，然后用windbg吧，od调不了ring0服务的 2010-6-25 18:25 0
moodykeke 雪币： 496 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 242 粉丝 0 关注私信	moodykeke 10 楼静态分析同问对于利用svchost.exe、Rundll32.exe启动的dll，如何动态调试？ 2010-6-25 22:16 0
myrrb 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	myrrb 11 楼学习啦，嘿嘿！ 2010-7-23 15:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复