首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]请问这是什么防附加手段
发表于: 2012-9-6 15:44 6250

[求助]请问这是什么防附加手段

Mxixihaha 活跃值
2012-9-6 15:44
6250
手中一个软件,禁止了OD的附加功能 直接提示 无法附加进程
xuetr 没有发现SSDT 和 inline

用双机调试发现
nt!NtDebugActiveProcess -> nt!DbgkpSetProcessDebugObject -> nt!DbgkpPostFakeThreadMessages  

80644922 8b4e30          mov     ecx,dword ptr [esi+30h]
80644925 3b4df8          cmp     ecx,dword ptr [ebp-8]
80644928 7561            jne     nt!DbgkpSetProcessDebugObject+0x19f (8064498b)
8064492a 837d1000        cmp     dword ptr [ebp+10h],0 ss:0010:f6cccd3c=c0000048
//出现了DebugActiveProcess 返回的错误码 C0000048

刚用WINDBG 不熟,请问大侠 这是什么调试手段? 修改什么导致的附加失败? 非常感谢

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
网络游侠
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
2
放bin出来看看!
2012-9-6 16:47
0
Mxixihaha
雪    币: 4381
活跃值: (4373)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
那个BIN 很大,而且要双机才能运行. 一个客户 一个服务  30G那么大.
2012-9-6 17:07
0
yjd
雪    币: 2882
活跃值: (1279)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
yjd
4
那个BIN 很大,而且要双机才能运行. 一个客户 一个服务 30G那么大

可以让二楼给你远程协助
2012-9-6 17:20
0
Mxixihaha
雪    币: 4381
活跃值: (4373)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
这个没有必要那么麻烦人家哈,大家都有自己的事情要做的, 知道的大哥们可以路过的同时顺便指点一下就行了,那样我就非常感谢了,反正放在论坛上面大家都学习学习嘛.
2012-9-6 19:20
0
ruoko
雪    币: 122
活跃值: (72)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
6
软件被自己调试了。
2012-9-7 02:59
0
Mxixihaha
雪    币: 4381
活跃值: (4373)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
如果被调试的话我用 ZwSetInformationThread 和 DebugActiveProcessStop  都没脱离出来

IsDebuggerPresent 检测不到调试( 内核函数没有被HOOK )

_EPROCESS 中的 DebugPort 没有清零.

反而很奇怪.R3下拦截不到创建进程的地方.
2012-9-7 10:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//