od附加问题, 跟贴有分-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 2 楼我想，上面已经把问题说清楚了，如果还不够清楚，请大牛们跟帖留言 2012-8-30 08:25 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 3 楼 DebugActiveProcess创建设置调试对象端口之后，是通过创建一个远程线程来跑DbgBreakPoint的函数，这个函数里面就执行了INT3，所以OD一附加进程就会断下了。这些都是可以做手脚的。另外3环使用的调试对象的句柄是放在OD调试线程的FS:F24处，等待调试事件继续事件都是需要这个句柄的，这也是可以做手脚的。 2012-8-30 10:07 0
瑞剑雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	瑞剑 4 楼反侦测OD的手段很多，OD的防侦测手段也很多，LZ不能以为只设置了调试位，附加的进程就会检测不到。 2012-8-30 10:19 0
伊春柏森雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	伊春柏森 5 楼我是新人，也碰到拒绝调试的进程了，我还没楼主厉害，支持一下，看总结 2012-8-30 10:20 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 6 楼求解决办法..... 2012-8-30 10:48 0
maxzism 雪币： 169 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	maxzism 7 楼可执行模块里有东西没，可直接恢复R3某几个api 2012-8-30 11:26 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 8 楼 OllyAdvanced插件全钩上，附加正常，程序断下来了。不过还是不知道是何原因断到了如图的位置，是正确的吧在按F9运行，程序跑不起来了，是咋回事呢上传的附件： 222.jpg （310.86kb，9次下载） 2012-8-30 11:53 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 9 楼 [QUOTE=我喝多了;1098374]OllyAdvanced插件全钩上，附加正常，程序断下来了。不过还是不知道是何原因断到了如图的位置，是正确的吧在按F9运行，程序跑不起来了，是咋回事呢[/QUOTE] 3楼我都说了，调试句柄，如果0环的检测你都去掉的话那很大可能就是调试句柄，你看下OD FS:F24的地方有没有值，3环调试API与0环的通信都是基于这个调试句柄的，被清掉了就不能工作了，或者你OD调试OD，看哪个调试API里面出问题了，最直接的方法其实就是把3环部分的API自己写了 2012-8-30 13:19 0
拍拖雪币： 1790 活跃值： (3781) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 10 楼楼主能否发下你调试的软件，对这个问题比较感兴趣。 2012-8-30 14:08 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 11 楼轩辕传奇...... 2012-8-30 15:01 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 12 楼来人继续啊.... 2012-8-30 17:58 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 13 楼附加陈功了， F9运行起来了， 1分钟之内进程弹框报了非法模块，应该是检测到OD了，目标进程自己关掉了。重来之后，3环断MessageBoxA/W, ExitProcess, 0环断ZwTerminateProcess, NtTerminateProcess, 都没断下来，这时候要怎么办啊 2012-8-30 18:24 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 14 楼看看OD里有没有 "进程补丁.dll"的文件把他删了因为这插件会发生冲突好久没去看过TP了不知详情 2012-8-30 19:02 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 15 楼这位大牛，没有进程补丁.dll 2012-8-30 19:09 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 16 楼大牛们都哪去了啊 2012-8-30 20:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 2 楼我想，上面已经把问题说清楚了，如果还不够清楚，请大牛们跟帖留言 2012-8-30 08:25 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 3 楼 DebugActiveProcess创建设置调试对象端口之后，是通过创建一个远程线程来跑DbgBreakPoint的函数，这个函数里面就执行了INT3，所以OD一附加进程就会断下了。这些都是可以做手脚的。另外3环使用的调试对象的句柄是放在OD调试线程的FS:F24处，等待调试事件继续事件都是需要这个句柄的，这也是可以做手脚的。 2012-8-30 10:07 0
瑞剑雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 24 粉丝 0 关注私信	瑞剑 4 楼反侦测OD的手段很多，OD的防侦测手段也很多，LZ不能以为只设置了调试位，附加的进程就会检测不到。 2012-8-30 10:19 0
伊春柏森雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	伊春柏森 5 楼我是新人，也碰到拒绝调试的进程了，我还没楼主厉害，支持一下，看总结 2012-8-30 10:20 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 6 楼求解决办法..... 2012-8-30 10:48 0
maxzism 雪币： 169 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 36 粉丝 0 关注私信	maxzism 7 楼可执行模块里有东西没，可直接恢复R3某几个api 2012-8-30 11:26 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 8 楼 OllyAdvanced插件全钩上，附加正常，程序断下来了。不过还是不知道是何原因断到了如图的位置，是正确的吧在按F9运行，程序跑不起来了，是咋回事呢上传的附件： 222.jpg （310.86kb，9次下载） 2012-8-30 11:53 0
dkxzl 雪币： 287 活跃值： (583) 能力值： ( LV5，RANK：60 ) 在线值：发帖 24 回帖 269 粉丝 26 关注私信	dkxzl 1 9 楼 [QUOTE=我喝多了;1098374]OllyAdvanced插件全钩上，附加正常，程序断下来了。不过还是不知道是何原因断到了如图的位置，是正确的吧在按F9运行，程序跑不起来了，是咋回事呢[/QUOTE] 3楼我都说了，调试句柄，如果0环的检测你都去掉的话那很大可能就是调试句柄，你看下OD FS:F24的地方有没有值，3环调试API与0环的通信都是基于这个调试句柄的，被清掉了就不能工作了，或者你OD调试OD，看哪个调试API里面出问题了，最直接的方法其实就是把3环部分的API自己写了 2012-8-30 13:19 0
拍拖雪币： 1790 活跃值： (3781) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 10 楼楼主能否发下你调试的软件，对这个问题比较感兴趣。 2012-8-30 14:08 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 11 楼轩辕传奇...... 2012-8-30 15:01 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 12 楼来人继续啊.... 2012-8-30 17:58 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 13 楼附加陈功了， F9运行起来了， 1分钟之内进程弹框报了非法模块，应该是检测到OD了，目标进程自己关掉了。重来之后，3环断MessageBoxA/W, ExitProcess, 0环断ZwTerminateProcess, NtTerminateProcess, 都没断下来，这时候要怎么办啊 2012-8-30 18:24 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 14 楼看看OD里有没有 "进程补丁.dll"的文件把他删了因为这插件会发生冲突好久没去看过TP了不知详情 2012-8-30 19:02 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 15 楼这位大牛，没有进程补丁.dll 2012-8-30 19:09 0
我喝多了雪币： 1625 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 47 粉丝 0 关注私信	我喝多了 16 楼大牛们都哪去了啊 2012-8-30 20:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复