[求助]请教下怎么调试反附加的程序？-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]请教下怎么调试反附加的程序？ 0.00雪花

发表于: 2013-5-20 20:38 2392

[旧帖] [求助]请教下怎么调试反附加的程序？ 0.00雪花

bxc

2013-5-20 20:38

2392

有个程序，用OD一附加就自动退出，用Xuetr检测了一下，发现3个被hook的可疑函数，
ntdll.dll->DbgUiRemoteBreakin
ntdll.dll->NtMapViewOfSection
ntdll.dll->ZwMapViewOfSection
请问这3个函数被Hook了怎么才能调试？我试过还原被Hook的代码，但被检测出来了，进程退出。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

支持

最新回复 (1)
HingC 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	HingC 2 楼主要是Hook了DbgUiRemoteBreakin这个函数，是反调试的，OD过不了这个函数的监测，可以尝试不还原监测处使用自己构造函数实现被Hook的函数功能绕过hook，你可以参考http://bbs.pediy.com/showthread.php?t=126802中关于NtOpenProcess的恢复处理，绕过之后就可以挂OD了。 2013-5-20 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bxc

245

发帖

1332

回帖

340

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
HingC 雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	HingC 2 楼主要是Hook了DbgUiRemoteBreakin这个函数，是反调试的，OD过不了这个函数的监测，可以尝试不还原监测处使用自己构造函数实现被Hook的函数功能绕过hook，你可以参考http://bbs.pediy.com/showthread.php?t=126802中关于NtOpenProcess的恢复处理，绕过之后就可以挂OD了。 2013-5-20 21:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复