-
-
[求助]R0创建的进程 OD无法附加
-
发表于: 2012-8-29 22:55
-
一个程序可能是从驱动里面创建的. 原因是
HOOK CreateProcessInternalW 除开那个程序,其它所有的进程都成功拦截到创建信息.再往下就只有驱动里面了...
如果是从驱动里面创建的话 OD是不是无法附加?
现在不可以附加 (要么没有权限,要和先被其它进程附加了) .程序本身没有添加任何代码保护(用xuetr扫描过了 包括进程扫描R3的HOOK),只是它调用的会进行文件效验,不对的话会直被关闭
在入口写入0xCC (int 3) OD设置为即时调试器的话 文件效验又没有办法解决. 因为它启动多个程序,不知道是哪一个效验了文件.
感谢看完 ^_^ 下面请教问题了哦
问题一:
有没有办法在进程创建的第一时间不修改文件 又能让它的入口变成0xCC ? 前提是 [全局HOOK] CreateProcessInternalW 都拦不到他的创建
这样即可以用OD打开,也能逃过文件效验
问题二:
如果是被进程进行了调试进程.那怎么脱离出来呢?
DebugSetProcessKillOnExit(FALSE)
DebugActiveProcessStop(被调试进程ID)
这两个函数试过调用没有效果,一样无法附加
非常期待您的指点,万分感谢
HOOK CreateProcessInternalW 除开那个程序,其它所有的进程都成功拦截到创建信息.再往下就只有驱动里面了...
如果是从驱动里面创建的话 OD是不是无法附加?
现在不可以附加 (要么没有权限,要和先被其它进程附加了) .程序本身没有添加任何代码保护(用xuetr扫描过了 包括进程扫描R3的HOOK),只是它调用的会进行文件效验,不对的话会直被关闭
在入口写入0xCC (int 3) OD设置为即时调试器的话 文件效验又没有办法解决. 因为它启动多个程序,不知道是哪一个效验了文件.
感谢看完 ^_^ 下面请教问题了哦
问题一:
有没有办法在进程创建的第一时间不修改文件 又能让它的入口变成0xCC ? 前提是 [全局HOOK] CreateProcessInternalW 都拦不到他的创建
这样即可以用OD打开,也能逃过文件效验
问题二:
如果是被进程进行了调试进程.那怎么脱离出来呢?
DebugSetProcessKillOnExit(FALSE)
DebugActiveProcessStop(被调试进程ID)
这两个函数试过调用没有效果,一样无法附加
非常期待您的指点,万分感谢
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
