[求助]OD附加电脑重启。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 2 楼有驱动么？有驱动估计是KeAttachStackProcess、KeAttachProcess、KiAttachProcess被搞了。重启是怎么个重启？直接黑了，还是正常关机启动式的重启？直接黑了就稳妥是内核了，正常重启的话有可能是R3搞的鬼。 2011-12-7 23:48 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 3 楼 KeAttachStackProcess此处订正为KeStackAttachProcess 2011-12-7 23:49 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 4 楼观看中。。。。。。 2011-12-8 09:04 0
奘和雪币： 4902 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 5 楼驱动冲突吧。。。 2011-12-8 09:48 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 6 楼有驱动，用XT看 inline hook了OpenProcess ReadVirtualMemory WritVirtualMemory三个函数，IDT hook Debug和breakpoint2个函数这几个函数我都用KD改回去了，IDThook我直接用jmp跳转到正确的ISR上。没改之前不能附加不能读写，改了之后CE能用，但是OD附加完就重启，跟直接按了机箱上的重启按钮一样，直接黑了马上又重启。 2011-12-8 16:23 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 7 楼 Mydbg这个调试器没加载驱动，附加后一样重启，不应该是驱动冲突吧 2011-12-8 16:51 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 8 楼我刚看了KeStackAttachProcess和KeAttachProcess 都正常 KiAttachProcess未导出看不到，估计也是正常的。软件大概是判断自己是否正在被调试才重启的电脑，只是不知道是依靠的什么判断出来的 2011-12-8 17:03 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 9 楼方法很多。R3通知R0重启是一类。R0直接自己检测又是一类。甭管什么SOD或者Phantom以及HideToolsz之类的先绑上，KiAttachProcess一定要确定是否被钩挂，最后可能就是检测DebugPort,TCB之类的，别的一下子还没想起来。吃晚饭回来再帮你想想 2011-12-8 17:45 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 10 楼刚看了 KiAttachProcess正常。另外我调试的是一款游戏，这个游戏在登陆账号前只有一个驱动在起作用，登陆后才会涉及应用层的检测，现在就是还未登陆OD已经不能附加了。 2011-12-8 19:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 2 楼有驱动么？有驱动估计是KeAttachStackProcess、KeAttachProcess、KiAttachProcess被搞了。重启是怎么个重启？直接黑了，还是正常关机启动式的重启？直接黑了就稳妥是内核了，正常重启的话有可能是R3搞的鬼。 2011-12-7 23:48 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 3 楼 KeAttachStackProcess此处订正为KeStackAttachProcess 2011-12-7 23:49 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 4 楼观看中。。。。。。 2011-12-8 09:04 0
奘和雪币： 4902 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 744 粉丝 0 关注私信	奘和 5 楼驱动冲突吧。。。 2011-12-8 09:48 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 6 楼有驱动，用XT看 inline hook了OpenProcess ReadVirtualMemory WritVirtualMemory三个函数，IDT hook Debug和breakpoint2个函数这几个函数我都用KD改回去了，IDThook我直接用jmp跳转到正确的ISR上。没改之前不能附加不能读写，改了之后CE能用，但是OD附加完就重启，跟直接按了机箱上的重启按钮一样，直接黑了马上又重启。 2011-12-8 16:23 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 7 楼 Mydbg这个调试器没加载驱动，附加后一样重启，不应该是驱动冲突吧 2011-12-8 16:51 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 8 楼我刚看了KeStackAttachProcess和KeAttachProcess 都正常 KiAttachProcess未导出看不到，估计也是正常的。软件大概是判断自己是否正在被调试才重启的电脑，只是不知道是依靠的什么判断出来的 2011-12-8 17:03 0
潇遥子枫雪币： 7 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 45 粉丝 0 关注私信	潇遥子枫 9 楼方法很多。R3通知R0重启是一类。R0直接自己检测又是一类。甭管什么SOD或者Phantom以及HideToolsz之类的先绑上，KiAttachProcess一定要确定是否被钩挂，最后可能就是检测DebugPort,TCB之类的，别的一下子还没想起来。吃晚饭回来再帮你想想 2011-12-8 17:45 0
mistyes 雪币： 276 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 68 粉丝 1 关注私信	mistyes 10 楼刚看了 KiAttachProcess正常。另外我调试的是一款游戏，这个游戏在登陆账号前只有一个驱动在起作用，登陆后才会涉及应用层的检测，现在就是还未登陆OD已经不能附加了。 2011-12-8 19:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复