QQ2013变态反调试，无法OD附加调试，一打开就是双进程，登录上后又是另外一个进程，求解！-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] QQ2013变态反调试，无法OD附加调试，一打开就是双进程，登录上后又是另外一个进程，求解！ 0.00雪花

发表于: 2012-12-8 12:38 17621

[旧帖] QQ2013变态反调试，无法OD附加调试，一打开就是双进程，登录上后又是另外一个进程，求解！ 0.00雪花

越光

2012-12-8 12:38

17621

以前QQ2012版本只有一个进程，还可以直接附加来进行调试，这个2013版本除了这QQ两个进程外，还有额外的一个QQProtect进程，这个已经想办法去掉了，现在的问题是：打开QQ.exe后，出现双QQ.exe进程，然后观察两个进程id是不同的，之后登录成功后,又变成另外一个QQ.exe进程，不管在哪个阶段都无法进行附加，附加任意一个进程都无法直接到真正执行的地方，最终都是到了ntdll.DbgBreakPoint,shift+F9无效。
真心求解，这个算是TX的一个反调试手段吧，求大牛们指点一二，万分感谢！！

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・4

免费・0

支持

最新回复 (23)
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 2 楼这不是QQ2013独有的功能行不行，早在QQ2012的安全防护板就有了 2012-12-8 12:47 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 3 楼但是这个版本开始，都全部采用这个方案了，求指点一二！谢谢，给个思路也行呀 2012-12-8 12:58 0
Kisesy 雪币： 6499 活跃值： (3117) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 4 楼我的QQ就一个进程.....2013 2012-12-8 13:23 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 5 楼我是说你在输入密码框和登录过程中的时候，会是两个进程甚至三个进程！你看看。登录后又变为一个！ 2012-12-8 13:49 0
HOWMP 雪币： 2496 活跃值： (2318) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 6 楼似乎和以前差不多，两个进程先启动的QQ加载了tssafeedit.dat。然后里面挂了 WH_KEYBOARD_LL钩子，然后顺藤摸瓜，LZ自摸吧 PS：CE的VEH调试模式可用，LZ可以仿照这个，在挂钩的地方做点手脚上传的附件：未命名.JPG （14.73kb，15次下载） 2012-12-8 14:13 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 8 楼 [QUOTE=HOWMP;1123948]似乎和以前差不多，两个进程先启动的QQ加载了tssafeedit.dat。然后里面挂了 WH_KEYBOARD_LL钩子，然后顺藤摸瓜，LZ自摸吧 PS：CE的VEH调试模式可用，LZ可以仿照这个，在挂钩的地方做点手脚[/QUOTE] 首先表示感谢，我的目的不在于密码，而是想分析其他的行为，就是在启动过程中，输入了密码后点登录的过程。而且两个进程最终不是保留一个进程，而是生成一个新的进程，所以比较头大。 2012-12-8 15:16 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 9 楼我刚才下了个QQ2013最新版，确实有两个QQ进程。 2012-12-8 15:59 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 10 楼如果不自己处理下，还有个QQProtect进程。这个版本跟以往的不一样了，头次遇见登陆时两进程，登陆后，又合并为一个进程的东西。 2012-12-8 16:54 0
allenpeid 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	allenpeid 11 楼表示飘过。。。。。。。。。。。。。 2012-12-8 19:28 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 12 楼希望调试过最新版QQ2013的朋友给点指点，小弟在此谢过了！捉摸了一个多星期了，还是没有头绪，搞不定了！ 2012-12-9 11:55 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 13 楼难道2013就是所谓的安全防护版，就真的没有办法动态调试了么，只能静态分析么？难。难。难。只怪自己太菜。 2012-12-9 15:44 0
fesfes 雪币： 115 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 135 粉丝 0 关注私信	fesfes 14 楼 2012的飘过等下下个13的看下 2012-12-9 22:29 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 15 楼希望大家给予指点，感激不敬！现在空有强烈的学习欲望，可是没有人给予指引，很难，难难 2012-12-10 19:38 0
丫丫journey 雪币： 329 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 66 粉丝 0 关注私信	丫丫journey 16 楼打开qq后，出现两个qq.exe和一个qqprotect.exe 楼主使用两个od分别附加两个qq.exe F9后，登录成功后会有一个qq.exe terminate掉，剩下一个，od仍在附加 2013-1-3 23:55 0
liu年雪币： 12 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 34 粉丝 0 关注私信	liu年 17 楼是不是可以dump下来然后用od打开 2013-1-18 15:12 0
午夜嚎叫雪币： 115 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	午夜嚎叫 18 楼看来不少人都望而却步了。 2013-1-18 18:03 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 19 楼看过一篇文章，主要意思：qq2013在登录的时候有两个qq.exe进程，一个是qq面板的，另一个是qq密码输入框的进程，希望能够有所帮助~~~ 2013-2-26 15:49 0
exmc 雪币： 542 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	exmc 20 楼发现QQ2013有明显的一些Bug.鼠标焦点在密码输入框时可以按Alt Space X使输入框布满登录窗口。长时间停滞在登录窗口会出现不能输入密码的现象。 2013-3-5 00:33 0
jsphuang 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	jsphuang 21 楼 OD 了一次QQ，但是无法做进一步的debug 2013-3-5 11:30 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 22 楼 tx也有大把的牛人 2013-3-5 12:21 0
xinxinqing 雪币： 1234 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 23 楼新手，学习了，回家去试一试看看。 2013-3-5 14:08 0
hsppl 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hsppl 24 楼学习了。。。作为小白，貌似都看不懂。。。 2013-3-6 22:51 0
pythoner 雪币： 1313 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 49 粉丝 0 关注私信	pythoner 25 楼想破解密码不是这么搞的，需要自己做钩子，放在QQ的钩子链最头上。不过还有比这更高级的破解密码办法，本人先卖个关子，嘿嘿 2013-3-8 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

越光

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 2 楼这不是QQ2013独有的功能行不行，早在QQ2012的安全防护板就有了 2012-12-8 12:47 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 3 楼但是这个版本开始，都全部采用这个方案了，求指点一二！谢谢，给个思路也行呀 2012-12-8 12:58 0
Kisesy 雪币： 6499 活跃值： (3117) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 601 粉丝 2 关注私信	Kisesy 4 楼我的QQ就一个进程.....2013 2012-12-8 13:23 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 5 楼我是说你在输入密码框和登录过程中的时候，会是两个进程甚至三个进程！你看看。登录后又变为一个！ 2012-12-8 13:49 0
HOWMP 雪币： 2496 活跃值： (2318) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 6 楼似乎和以前差不多，两个进程先启动的QQ加载了tssafeedit.dat。然后里面挂了 WH_KEYBOARD_LL钩子，然后顺藤摸瓜，LZ自摸吧 PS：CE的VEH调试模式可用，LZ可以仿照这个，在挂钩的地方做点手脚上传的附件：未命名.JPG （14.73kb，15次下载） 2012-12-8 14:13 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 8 楼 [QUOTE=HOWMP;1123948]似乎和以前差不多，两个进程先启动的QQ加载了tssafeedit.dat。然后里面挂了 WH_KEYBOARD_LL钩子，然后顺藤摸瓜，LZ自摸吧 PS：CE的VEH调试模式可用，LZ可以仿照这个，在挂钩的地方做点手脚[/QUOTE] 首先表示感谢，我的目的不在于密码，而是想分析其他的行为，就是在启动过程中，输入了密码后点登录的过程。而且两个进程最终不是保留一个进程，而是生成一个新的进程，所以比较头大。 2012-12-8 15:16 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 9 楼我刚才下了个QQ2013最新版，确实有两个QQ进程。 2012-12-8 15:59 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 10 楼如果不自己处理下，还有个QQProtect进程。这个版本跟以往的不一样了，头次遇见登陆时两进程，登陆后，又合并为一个进程的东西。 2012-12-8 16:54 0
allenpeid 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	allenpeid 11 楼表示飘过。。。。。。。。。。。。。 2012-12-8 19:28 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 12 楼希望调试过最新版QQ2013的朋友给点指点，小弟在此谢过了！捉摸了一个多星期了，还是没有头绪，搞不定了！ 2012-12-9 11:55 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 13 楼难道2013就是所谓的安全防护版，就真的没有办法动态调试了么，只能静态分析么？难。难。难。只怪自己太菜。 2012-12-9 15:44 0
fesfes 雪币： 115 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 135 粉丝 0 关注私信	fesfes 14 楼 2012的飘过等下下个13的看下 2012-12-9 22:29 0
越光雪币： 99 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	越光 15 楼希望大家给予指点，感激不敬！现在空有强烈的学习欲望，可是没有人给予指引，很难，难难 2012-12-10 19:38 0
丫丫journey 雪币： 329 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 66 粉丝 0 关注私信	丫丫journey 16 楼打开qq后，出现两个qq.exe和一个qqprotect.exe 楼主使用两个od分别附加两个qq.exe F9后，登录成功后会有一个qq.exe terminate掉，剩下一个，od仍在附加 2013-1-3 23:55 0
liu年雪币： 12 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 34 粉丝 0 关注私信	liu年 17 楼是不是可以dump下来然后用od打开 2013-1-18 15:12 0
午夜嚎叫雪币： 115 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 48 粉丝 0 关注私信	午夜嚎叫 18 楼看来不少人都望而却步了。 2013-1-18 18:03 0
Interkey 雪币： 442 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 42 粉丝 0 关注私信	Interkey 19 楼看过一篇文章，主要意思：qq2013在登录的时候有两个qq.exe进程，一个是qq面板的，另一个是qq密码输入框的进程，希望能够有所帮助~~~ 2013-2-26 15:49 0
exmc 雪币： 542 活跃值： (122) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 22 粉丝 0 关注私信	exmc 20 楼发现QQ2013有明显的一些Bug.鼠标焦点在密码输入框时可以按Alt Space X使输入框布满登录窗口。长时间停滞在登录窗口会出现不能输入密码的现象。 2013-3-5 00:33 0
jsphuang 雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	jsphuang 21 楼 OD 了一次QQ，但是无法做进一步的debug 2013-3-5 11:30 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 22 楼 tx也有大把的牛人 2013-3-5 12:21 0
xinxinqing 雪币： 1234 活跃值： (282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 390 粉丝 0 关注私信	xinxinqing 23 楼新手，学习了，回家去试一试看看。 2013-3-5 14:08 0
hsppl 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hsppl 24 楼学习了。。。作为小白，貌似都看不懂。。。 2013-3-6 22:51 0
pythoner 雪币： 1313 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 49 粉丝 0 关注私信	pythoner 25 楼想破解密码不是这么搞的，需要自己做钩子，放在QQ的钩子链最头上。不过还有比这更高级的破解密码办法，本人先卖个关子，嘿嘿 2013-3-8 23:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复