[求助]脱壳文件运行后系统自动关机如何下断点?-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼找系统关机的API下断不可以吗? 2011-4-28 15:32 0
qqjack 雪币： 248 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 58 粉丝 1 关注私信	qqjack 1 3 楼试一下这个断点 bp ExitWindowsEx 2011-4-28 15:35 0
Seely 雪币： 180 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 124 粉丝 0 关注私信	Seely 4 楼同楼上，bp ExitWindowsEx 断下后在堆栈窗口找到地址然后跳转到该地址，如果Alt+F9就又关掉了 2011-4-28 16:11 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 5 楼 bp ExitWindowsEx 下过了,不行. 2011-4-28 16:14 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 6 楼 bp MSVBVM60.rtcShell 也不行. 2011-4-28 16:24 0
qqjack 雪币： 248 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 58 粉丝 1 关注私信	qqjack 1 7 楼想到一个笨方法,不知可行不去试下看直接对native api下断调用系统的api都会转为调用native api的调用实现关机的Native API NtShutDownSystem ZwShutDownSystem 不过OD里面直接对函数名这两个函数似乎不认得，不知道你的认识不不认识就得找地址对其下断了这两个函数在ntdll.dll模块可以用denpendency查看（vc下带的一个工具） 2011-4-28 17:02 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 8 楼 NtShutDownSystem ZwShutDownSystem 这两个函数不认得，烦请大师说说如何直接对native api下断，又如何找地址对其下断？我是新手，请讲仔细些，谢谢！ 2011-4-28 17:56 0
qqjack 雪币： 248 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 58 粉丝 1 关注私信	qqjack 1 9 楼俺也是新手，呵呵…… 最下面窗口有ntdll.dll模块的基址右边窗口有函数便宜量这个方法其实我都还没试过，呵呵上传的附件： 1.jpg （172.04kb，39次下载） 2.jpg （155.58kb，39次下载） 2011-4-28 19:12 0
xzwangchen 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	xzwangchen 10 楼 9楼的那个软件俺没用过- - 俺去下个试试在试下这个函数= = 谢谢9楼的提供 2011-4-28 19:46 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 11 楼看不懂，还是不知该怎么下断。 2011-4-28 21:30 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 12 楼程序确实执行了shutdown -s -t 1命令,但不知如何下断点,谁能告诉我bp什么呀? 2011-4-29 11:07 0
黑色candy 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	黑色candy 13 楼不用下了。直接把CMD改名字看看。。。哈哈。 2011-4-29 23:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
Mx￠Xgt 雪币： 656 活跃值： (448) 能力值： ( LV12，RANK：360 ) 在线值：发帖 77 回帖 583 粉丝 4 关注私信	Mx￠Xgt 7 2 楼找系统关机的API下断不可以吗? 2011-4-28 15:32 0
qqjack 雪币： 248 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 58 粉丝 1 关注私信	qqjack 1 3 楼试一下这个断点 bp ExitWindowsEx 2011-4-28 15:35 0
Seely 雪币： 180 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 124 粉丝 0 关注私信	Seely 4 楼同楼上，bp ExitWindowsEx 断下后在堆栈窗口找到地址然后跳转到该地址，如果Alt+F9就又关掉了 2011-4-28 16:11 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 5 楼 bp ExitWindowsEx 下过了,不行. 2011-4-28 16:14 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 6 楼 bp MSVBVM60.rtcShell 也不行. 2011-4-28 16:24 0
qqjack 雪币： 248 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 58 粉丝 1 关注私信	qqjack 1 7 楼想到一个笨方法,不知可行不去试下看直接对native api下断调用系统的api都会转为调用native api的调用实现关机的Native API NtShutDownSystem ZwShutDownSystem 不过OD里面直接对函数名这两个函数似乎不认得，不知道你的认识不不认识就得找地址对其下断了这两个函数在ntdll.dll模块可以用denpendency查看（vc下带的一个工具） 2011-4-28 17:02 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 8 楼 NtShutDownSystem ZwShutDownSystem 这两个函数不认得，烦请大师说说如何直接对native api下断，又如何找地址对其下断？我是新手，请讲仔细些，谢谢！ 2011-4-28 17:56 0
qqjack 雪币： 248 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 58 粉丝 1 关注私信	qqjack 1 9 楼俺也是新手，呵呵…… 最下面窗口有ntdll.dll模块的基址右边窗口有函数便宜量这个方法其实我都还没试过，呵呵上传的附件： 1.jpg （172.04kb，39次下载） 2.jpg （155.58kb，39次下载） 2011-4-28 19:12 0
xzwangchen 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	xzwangchen 10 楼 9楼的那个软件俺没用过- - 俺去下个试试在试下这个函数= = 谢谢9楼的提供 2011-4-28 19:46 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 11 楼看不懂，还是不知该怎么下断。 2011-4-28 21:30 0
jiaosc 雪币： 80 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 72 粉丝 1 关注私信	jiaosc 12 楼程序确实执行了shutdown -s -t 1命令,但不知如何下断点,谁能告诉我bp什么呀? 2011-4-29 11:07 0
黑色candy 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	黑色candy 13 楼不用下了。直接把CMD改名字看看。。。哈哈。 2011-4-29 23:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]脱壳文件运行后系统自动关机如何下断点? 0.00雪花