首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 某程序问题,OD附加就自动关闭 0.00雪花
发表于: 2014-3-6 23:52 5092

[旧帖] 某程序问题,OD附加就自动关闭 0.00雪花

依山 活跃值
2014-3-6 23:52
5092
某exe程序,OD附加时在选择进程附加的窗口中,该exe的路径变为C:\windows\system32\normaliz.dll,附加后该程序就关闭了,有时候附加后OD也会直接被关闭。在任务管理器中该exe显示正常。请问这是加了壳的关系还是用什么反调试技术实现的?

PEID显示壳类型: tElock 1.0 (private) -> tE! *

由于之前也碰到过,有的程序本身没加壳,也是附加不了,所以断定应该跟壳无关,求解。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (11)
iceway
雪    币: 19
活跃值: (1086)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
win7么?换个OD
2014-3-7 01:48
0
吴刚
雪    币: 28
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
API hook  是不是安装了全局钩子 hook了OpenProcess 判断是自己进程就退出了
没有实际测试过 不知道有没有权限问题
2014-3-7 08:39
0
yians
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
应该是反调试技术,我也越到了同样的问题。
可以看看http://ldbqh.blog.163.com/blog/static/74978170201343195954109/,有破反调试的经历
2014-3-7 09:22
0
依山
雪    币: 1028
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢楼上几位解答,但情况跟各位描述的不大一样。我没有查到任何的HOOK。

我把程序上传到网盘了,对这个程序无破解之意,只想了解这种反调试技术,对于Ring3下反调试很有用。希望大家一起进步。
http://dl.vmall.com/c0lmasab7m

解压密码123
2014-3-7 12:42
0
IamHuskar
雪    币: 1392
活跃值: (4867)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
私信
6
password
2014-3-7 12:46
0
hulucc
雪    币: 90
活跃值: (80)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
StrongOD里的加强附加选了么
2014-3-7 13:02
0
依山
雪    币: 1028
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
密码:123  不好意思,漏了
2014-3-7 13:44
0
IamHuskar
雪    币: 1392
活跃值: (4867)
能力值: ( LV13,RANK:240 )
在线值:
发帖
回帖
粉丝
私信
9
是VMP的壳
2014-3-7 14:35
0
xhbg
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
安装StrongOD插件和用Xuetr恢复目标进程Hook的函数
2014-3-8 13:55
0
依山
雪    币: 1028
活跃值: (110)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
附加的时候exe的路径变为C:\windows\system32\normaliz.dll现在可以确定是StrongOD的BUG。不过一附加程序就挂了,还没找到原因。谢谢大家的解答。
2014-3-8 16:06
0
潇潇暮雨
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
以前遇到过软件有壳,脱壳之后会对自身进行校验,如果发现代码被修改或者大小有变化就会自动退出...
2014-4-3 20:13
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//