[求助]OllyICE载入程序就自动关闭-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
yyccmm 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yyccmm 2 楼使用StrongOD好像也没用。各位老大，给指条明路吧。。小弟新手。。 2012-5-23 11:02 0
老伙计雪币： 807 活跃值： (2218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 3 楼应该是操作系统在加载和初始化用户自编动态连接库的过程中发现了调试器。用OllyICE加载与你要调试的程序相同目录内的动态连接库，按下F9进行初始化。每一个 dll 都照做一遍，看看是哪一个 dll 导致OllyICE“自杀”。如果没有找到，反汇编你的执行程序，看看动态链接库列表，如果其中有在软件目录下找不到的非系统动态连接库，那么，就到 C:\Windows\System32\ 路径去找。 2012-5-23 11:22 0
yyccmm 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yyccmm 4 楼找到一个dll文件打开会导致OllyICE"自杀"，那我接着怎么处理呢。。谢谢指教。。 2012-5-23 12:24 0
小调调雪币： 3229 活跃值： (3281) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 5 楼 StrongOD 线 path 下你的 OD 2012-5-23 12:32 0
yyccmm 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yyccmm 6 楼我是新手，不明白“path 下你的 OD ”什么意思，具体怎么操作能细说一下吗？？我在进程里是已经看不到ollyice啦。 2012-5-23 12:53 0
老伙计雪币： 807 活跃值： (2218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 7 楼找到一个dll文件打开会导致OllyICE"自杀"，那我接着怎么处理呢。。剩下的，当然就是跟踪该dll的初始化过程，找到检测调试器并导致 OllyICE “自杀”的代码部分，然后直接屏蔽掉应该就可以了。提示一下，检测调试器的代码一般都是“扎堆”的，使用系统 API 检查调试器是重要途径。其中，比较典型常用的包括以下 2 个 API： IsDebuggerPresent ZwQueryInformationProcess 如果在这两个 API 的入口设置断点（如有必要，可以设置硬件断点）然后调试运行，应该可以很快定位到检测调试器的地方。请参考： http://bbs.pediy.com/showthread.php?t=147295 另外，希望你自己多思考，多开动脑筋，多动手实践，不要凡事都依赖别人。 2012-5-23 17:07 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 8 楼找几个修改版的OD试试，你那应该不是普通的反调试，而是利用OD漏洞 2012-5-23 20:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
yyccmm 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yyccmm 2 楼使用StrongOD好像也没用。各位老大，给指条明路吧。。小弟新手。。 2012-5-23 11:02 0
老伙计雪币： 807 活跃值： (2218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 3 楼应该是操作系统在加载和初始化用户自编动态连接库的过程中发现了调试器。用OllyICE加载与你要调试的程序相同目录内的动态连接库，按下F9进行初始化。每一个 dll 都照做一遍，看看是哪一个 dll 导致OllyICE“自杀”。如果没有找到，反汇编你的执行程序，看看动态链接库列表，如果其中有在软件目录下找不到的非系统动态连接库，那么，就到 C:\Windows\System32\ 路径去找。 2012-5-23 11:22 0
yyccmm 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yyccmm 4 楼找到一个dll文件打开会导致OllyICE"自杀"，那我接着怎么处理呢。。谢谢指教。。 2012-5-23 12:24 0
小调调雪币： 3229 活跃值： (3281) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 5 楼 StrongOD 线 path 下你的 OD 2012-5-23 12:32 0
yyccmm 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	yyccmm 6 楼我是新手，不明白“path 下你的 OD ”什么意思，具体怎么操作能细说一下吗？？我在进程里是已经看不到ollyice啦。 2012-5-23 12:53 0
老伙计雪币： 807 活跃值： (2218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 7 楼找到一个dll文件打开会导致OllyICE"自杀"，那我接着怎么处理呢。。剩下的，当然就是跟踪该dll的初始化过程，找到检测调试器并导致 OllyICE “自杀”的代码部分，然后直接屏蔽掉应该就可以了。提示一下，检测调试器的代码一般都是“扎堆”的，使用系统 API 检查调试器是重要途径。其中，比较典型常用的包括以下 2 个 API： IsDebuggerPresent ZwQueryInformationProcess 如果在这两个 API 的入口设置断点（如有必要，可以设置硬件断点）然后调试运行，应该可以很快定位到检测调试器的地方。请参考： http://bbs.pediy.com/showthread.php?t=147295 另外，希望你自己多思考，多开动脑筋，多动手实践，不要凡事都依赖别人。 2012-5-23 17:07 0
liuyq 雪币： 285 活跃值： (16) 能力值： ( LV3，RANK：20 ) 在线值：发帖 24 回帖 1199 粉丝 0 关注私信	liuyq 8 楼找几个修改版的OD试试，你那应该不是普通的反调试，而是利用OD漏洞 2012-5-23 20:18 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复