[求助]请问CE是如何监视一个快速变化的变量的-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
HOWMP 雪币： 2792 活跃值： (2588) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼 CE也是如果你说的是：找出什么访问了这个地址那就是调试时，设置了硬件断点。上传的附件： Unnamed QQ Screenshot20130102145419.png （24.27kb，3次下载） Unnamed QQ Screenshot20130102145652.png （17.16kb，2次下载） 2013-1-2 14:57 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 3 楼找到传入参数的CALL进行HOOK，然后不断的监视局部堆栈。如果是全局的话，那就得找到写入全局数据的地方。 2013-1-2 15:28 0
cyfage 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cyfage 4 楼多谢提示不过个人感觉还是有点不对…… 因为个人实际测试的时候，将ReadProcessMemory()的时间间隔卡到1毫秒还老是漏记，但在CE的监视列表上却始终可以非常清晰的看见变量数值的变化过程，这一点我经过反复的测试可以充分证明。如果CE也是像我一样用这种方法监视，恐怕根本做不到的吧…… 谢谢，不过就是因为没办法HOOK我才迫不得已这么做的。那个程序每次一用OD附加，就出现DBGBreakPoint提示，然后目标进程就死掉了，看起来好像有反OD保护的样子……作为新手来说，我完全不知道怎么过掉。 2013-1-2 16:00 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 5 楼给地址设置了访问断点。。。数据被访问时就人断下来，然后记录下来再继续运行。。 2013-1-2 17:03 0
cyfage 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cyfage 6 楼 …… 百度了一下，似乎访问断点只有OD之类的调试器才能做到？如果是自己写的程序该怎么办呢？ 2013-1-2 18:38 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 7 楼 WaitForDebugEvent和SetThreadContext 2013-1-2 20:03 0
yeyeshun 雪币： 721 活跃值： (3380) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 8 楼 CE也算是个简单的调试器了，里面有一些断点之类的调试手法，不是普通的内存修改器 2013-1-2 21:52 0
cyfage 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cyfage 9 楼多谢楼上各位的指点，查了下资料，似乎最后都指向需要把目标进程设置为调试模式。可这样的话，似乎又绕回去了，这个进程似乎本身是有反调试功能的，一挂OD就自己死在DBG断点上，看来还是要先解决这个问题…… 无论如何，还是谢谢各位了…… 2013-1-3 13:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
HOWMP 雪币： 2792 活跃值： (2588) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 2 楼 CE也是如果你说的是：找出什么访问了这个地址那就是调试时，设置了硬件断点。上传的附件： Unnamed QQ Screenshot20130102145419.png （24.27kb，3次下载） Unnamed QQ Screenshot20130102145652.png （17.16kb，2次下载） 2013-1-2 14:57 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 3 楼找到传入参数的CALL进行HOOK，然后不断的监视局部堆栈。如果是全局的话，那就得找到写入全局数据的地方。 2013-1-2 15:28 0
cyfage 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cyfage 4 楼多谢提示不过个人感觉还是有点不对…… 因为个人实际测试的时候，将ReadProcessMemory()的时间间隔卡到1毫秒还老是漏记，但在CE的监视列表上却始终可以非常清晰的看见变量数值的变化过程，这一点我经过反复的测试可以充分证明。如果CE也是像我一样用这种方法监视，恐怕根本做不到的吧…… 谢谢，不过就是因为没办法HOOK我才迫不得已这么做的。那个程序每次一用OD附加，就出现DBGBreakPoint提示，然后目标进程就死掉了，看起来好像有反OD保护的样子……作为新手来说，我完全不知道怎么过掉。 2013-1-2 16:00 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 5 楼给地址设置了访问断点。。。数据被访问时就人断下来，然后记录下来再继续运行。。 2013-1-2 17:03 0
cyfage 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cyfage 6 楼 …… 百度了一下，似乎访问断点只有OD之类的调试器才能做到？如果是自己写的程序该怎么办呢？ 2013-1-2 18:38 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 7 楼 WaitForDebugEvent和SetThreadContext 2013-1-2 20:03 0
yeyeshun 雪币： 721 活跃值： (3380) 能力值： ( LV7，RANK：140 ) 在线值：发帖 12 回帖 400 粉丝 15 关注私信	yeyeshun 2 8 楼 CE也算是个简单的调试器了，里面有一些断点之类的调试手法，不是普通的内存修改器 2013-1-2 21:52 0
cyfage 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	cyfage 9 楼多谢楼上各位的指点，查了下资料，似乎最后都指向需要把目标进程设置为调试模式。可这样的话，似乎又绕回去了，这个进程似乎本身是有反调试功能的，一挂OD就自己死在DBG断点上，看来还是要先解决这个问题…… 无论如何，还是谢谢各位了…… 2013-1-3 13:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复