-
-
[旧帖]
OllyBonE 如何正常运行,存在的问题
0.00雪花
-
发表于:
2013-1-14 22:14
3533
-
[旧帖] OllyBonE 如何正常运行,存在的问题
0.00雪花
哎!搞了N多天也没搞明白OllyBone到底是怎么运行的!!!
疑惑一:
在OllyBone.dll中有加载OllyBone.sys驱动的代码,按理说,在启动OD的时候,OD系统会自动扫面Plugin文件夹,逐一扫描加载里面的插件(.dll),在加载OllyBone.dll插件的时候,它里面的程序按照其功能会加载NT式驱动OllyBone.sys,可它就是没有正常加载。在对内存中的段设置set break_on_execute断点的时候会出现错误如下:
在加载文件前,用户DriverMonitor 或者自己写的驱动加载程序先将驱动加载,则就不会出现此错误,不懂这是为什么?
疑惑二:
就算是提前加载了驱动OllyBone.sys,成功设置了设置set break_on_execute断点,当点击F9运行按钮的时候会出现以下两种情况:
1) 没有响应,根本就不动。
2) 运行了一下,但是OD上光标还是再最初载入的那点,虚拟机运行环境变的特别卡。
此时用DriverMonitor监视会发现已经成功Hook内存页,但是后面的就没有了。
示例如下图:加载一个用UPX加壳的简单exe. 设置break_on_execute断点。
此时在monitor中可以看到,已经成功hook住内存页。
此时再回到代码里,点击F9执行就没有反应。最下方也不会出现break_on_execute字样。
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
