调试文件中，遇到OD直接已终止的情况-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 调试文件中，遇到OD直接已终止的情况 0.00雪花

发表于: 2010-7-29 16:35 9644

[旧帖] 调试文件中，遇到OD直接已终止的情况 0.00雪花

nyhpro

2010-7-29 16:35

9644

OD载入程序,情况如下
007E0998 >/$  55          push ebp                            ;  (initial cpu selection)
007E0999  |.  8BEC       mov    ebp, esp
007E099B  |.  B9 15000000 mov    ecx, 15
007E09A0  |>  6A 00       /push 0
007E09A2  |.  6A 00       |push 0
007E09A4  |.  49          |dec    ecx
007E09A5  |.^ 75 F9       \jnz    short 007E09A0
007E09A7  |.  B8 B8FC7D00 mov    eax, 007DFCB8
007E09AC  |.  E8 BB6DC2FF call 0040776C
007E09B1  |.  33C0       xor    eax, eax
007E09B3  |.  55          push ebp
007E09B4  |.  68 2B127E00 push 007E122B
........

F9运行一下,运行到kernel32系统领空

7C812AFB 5E             pop    esi
7C812AFC C9             leave
7C812AFD C2 1000       retn 10

F8至retn
回到程序领空
007B4136 .  A1 90D87E00 mov    eax, dword ptr [7ED890]
007B413B .  8B00       mov    eax, dword ptr [eax]
007B413D .  E8 6EA60100 call 007CE7B0
007B4142 .  B8 0C447B00 mov    eax, 007B440C                   ;  ASCII "Initializing language ..."
007B4147 .  E8 C0690000 call 007BAB0C
007B414C .  E8 13600000 call 007BA164
007B4151 .  E8 92FDFFFF call 007B3EE8
007B4156 .  B8 30447B00 mov    eax, 007B4430                   ;  ASCII "Verifying database ..."
007B415B .  E8 AC690000 call 007BAB0C
007B4160 .  8B15 00037F00 mov    edx, dword ptr [7F0300]
007B4166 .  A1 FC027F00 mov    eax, dword ptr [7F02FC]
007B416B .  E8 10850000 call 007BC680
007B4170 .  A1 FC027F00 mov    eax, dword ptr [7F02FC]
007B4175 .  E8 9E890000 call 007BCB18
007B417A .  8845 FF    mov    byte ptr [ebp-1], al
007B417D .  807D FF 00 cmp    byte ptr [ebp-1], 0
007B4181 .  74 09       je    short 007B418C
007B4183 .  E8 10040000 call 007B4598
007B4188 .  85C0       test eax, eax
007B418A    75 04       jnz    short 007B4190
007B418C >  33C0       xor    eax, eax
007B418E .  EB 02       jmp    short 007B4192
007B4190 >  B0 01       mov    al, 1
007B4192 >  8845 FF    mov    byte ptr [ebp-1], al
007B4195 .  EB 04       jmp    short 007B419B
007B4197 >  C645 FF 00 mov    byte ptr [ebp-1], 0
007B419B >  33C0       xor    eax, eax
007B419D .  5A          pop    edx
007B419E .  59          pop    ecx
007B419F .  59          pop    ecx
007B41A0 .  64:8910    mov    dword ptr fs:[eax], edx
007B41A3 .  E9 B8000000 jmp    007B4260
007B41A8 .^ E9 1304C5FF jmp    004045C0
007B41AD    01          db    01
007B41AE    00          db    00
007B41AF    00          db    00
007B41B0    00          db    00
007B41B1 .  E8904000    dd    RemoteCo.004090E8
007B41B5 .  B9417B00    dd    RemoteCo.007B41B9
007B41B9 .  8945 F8    mov    dword ptr [ebp-8], eax

继续一路 F8

00404F50    F0:FF4A F8 lock dec dword ptr [edx-8]             ;  RemoteCo.00403F68
00404F54  |.  75 08       jnz    short 00404F5E
00404F56  |.  8D42 F8    lea    eax, dword ptr [edx-8]
00404F59  |.  E8 2AD9FFFF call 00402888
00404F5E  \>  C3          retn

运行到这条，调制就变成终止了
00404F50    F0:FF4A F8 lock dec dword ptr [edx-8]             ;  RemoteCo.00403F68

按SHIFT+F7也没有反应
OD都还没载入到输入序列号的状态就终止调试了。

Nop掉这条LOCK命令继续在OD里面执行下去，程序报错提示，但如果直接运行保存过NOP 掉LOCK的程序，运行一点问题都没有

这算是程序有反调试功能吗？

路过的大侠，有什么思路提醒一下，万分感谢。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

最新回复 (11)
nyhpro 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	nyhpro 2 楼难道我提问上有问题吗？有知道的兄弟，稍微提示一下啊 2010-7-30 10:30 0
nyhpro 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	nyhpro 3 楼 7C90E465 E8 E6C40100 call 7C92A950 7C90E46A 0AC0 or al, al 7C90E46C 74 0C je short 7C90E47A 7C90E46E 5B pop ebx 7C90E46F 59 pop ecx 7C90E470 6A 00 push 0 7C90E472 51 push ecx 7C90E473 E8 C8EBFFFF call ZwContinue 7C90E478 EB 0B jmp short 7C90E485 7C90E47A 5B pop ebx 7C90E47B 59 pop ecx 7C90E47C 6A 00 push 0 7C90E47E 51 push ecx 7C90E47F 53 push ebx 7C90E480 E8 0BF5FFFF call ZwRaiseException 当Call ZwRaiseException后，OD就终止了，这个是为什么呢？是程序做了OD的检测? 2010-7-30 14:18 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 4 楼分析上面一段代码，执行Call ZwRaiseException后，直接进入NTDLL系统临空，然后返回程序领空后，直接INT3，应该程序SEH到系统也无法异常处理的情况，接下来应该怎么去做呢？ 2010-7-30 19:16 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 5 楼真的有很努力的去思考和学习，有经验的朋友指导一下，可以吗？ 2010-7-30 19:18 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 6 楼看了笨笨熊的一个帖子有所感悟，自己已经解决了，尽管这样，还是为现在kanxue的气氛感到失望 2010-8-1 19:48 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 7 楼我的责任..... 2010-8-2 23:39 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 8 楼斑竹无须过于自责，你一个人的力量也回答不了所有人的问题，关键大家都是来这里索取的，这种气氛很不好。也希望像斑竹及其他的斑竹的经典回帖等也能做成一个索引，也许大家可以走很多弯路 2010-8-3 06:30 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼此版块的功能目前就是一个提问回答的版块，至于你说的那个索引，是会定期被整理到经典问答版块的。至于目前的气氛，尤其是这个求助问答区的气氛不容易活跃。也是一个问题。大概以后会想些更多的激励办法或策略。活跃起来。把氛围重新建立起来.. 2010-8-3 12:45 0
穆绒雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	穆绒 10 楼成功解决了也不说一下什么状况晕啊！ 2010-10-3 17:37 0
Modifix 雪币： 58 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	Modifix 11 楼是呀，楼主把解决方法也贴出来吧。 2010-10-4 01:20 0
Snisn 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	Snisn 12 楼遇到一个和楼主挺类似的问题，但不知道楼主是怎么解决的，能把解决思路大概说说吗？谢谢~ 2010-10-5 15:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nyhpro

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
nyhpro 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	nyhpro 2 楼难道我提问上有问题吗？有知道的兄弟，稍微提示一下啊 2010-7-30 10:30 0
nyhpro 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	nyhpro 3 楼 7C90E465 E8 E6C40100 call 7C92A950 7C90E46A 0AC0 or al, al 7C90E46C 74 0C je short 7C90E47A 7C90E46E 5B pop ebx 7C90E46F 59 pop ecx 7C90E470 6A 00 push 0 7C90E472 51 push ecx 7C90E473 E8 C8EBFFFF call ZwContinue 7C90E478 EB 0B jmp short 7C90E485 7C90E47A 5B pop ebx 7C90E47B 59 pop ecx 7C90E47C 6A 00 push 0 7C90E47E 51 push ecx 7C90E47F 53 push ebx 7C90E480 E8 0BF5FFFF call ZwRaiseException 当Call ZwRaiseException后，OD就终止了，这个是为什么呢？是程序做了OD的检测? 2010-7-30 14:18 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 4 楼分析上面一段代码，执行Call ZwRaiseException后，直接进入NTDLL系统临空，然后返回程序领空后，直接INT3，应该程序SEH到系统也无法异常处理的情况，接下来应该怎么去做呢？ 2010-7-30 19:16 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 5 楼真的有很努力的去思考和学习，有经验的朋友指导一下，可以吗？ 2010-7-30 19:18 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 6 楼看了笨笨熊的一个帖子有所感悟，自己已经解决了，尽管这样，还是为现在kanxue的气氛感到失望 2010-8-1 19:48 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 7 楼我的责任..... 2010-8-2 23:39 0
nyhyeah 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 47 粉丝 0 关注私信	nyhyeah 8 楼斑竹无须过于自责，你一个人的力量也回答不了所有人的问题，关键大家都是来这里索取的，这种气氛很不好。也希望像斑竹及其他的斑竹的经典回帖等也能做成一个索引，也许大家可以走很多弯路 2010-8-3 06:30 0
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 9 楼此版块的功能目前就是一个提问回答的版块，至于你说的那个索引，是会定期被整理到经典问答版块的。至于目前的气氛，尤其是这个求助问答区的气氛不容易活跃。也是一个问题。大概以后会想些更多的激励办法或策略。活跃起来。把氛围重新建立起来.. 2010-8-3 12:45 0
穆绒雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	穆绒 10 楼成功解决了也不说一下什么状况晕啊！ 2010-10-3 17:37 0
Modifix 雪币： 58 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	Modifix 11 楼是呀，楼主把解决方法也贴出来吧。 2010-10-4 01:20 0
Snisn 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	Snisn 12 楼遇到一个和楼主挺类似的问题，但不知道楼主是怎么解决的，能把解决思路大概说说吗？谢谢~ 2010-10-5 15:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 调试文件中，遇到OD直接 已终止的 情况 0.00雪花

[旧帖] 调试文件中，遇到OD直接已终止的情况 0.00雪花