[求助]a启动b，想用od调试b进程，b运行开始就能调试的方法？-《Android安全与逆向分析》-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
紫夜星纱雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	紫夜星纱 2 楼挂起注入附加 2014-3-21 17:31 0
kell星辰雪币： 16 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	kell星辰 3 楼能具体点吗？ 2014-3-21 17:42 0
Rtsjx 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 131 粉丝 0 关注私信	Rtsjx 4 楼将b的入口点改为int3指令，并记下原来的指令，然后设置OD为实时调试器，这样b一旦运行到入口点就会被od捕捉下来。最后，恢复原来的指令继续执行即可。 2014-3-21 18:01 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 5 楼 windbg 挂上父进程 .childdbg 1 g 就行了 2014-3-21 18:33 0
LOOOOOOOP 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	LOOOOOOOP 6 楼 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe] "Debugger"="D:\\Tools\\OllyICE\\OllyICE.exe" 2014-3-21 18:42 0
kell星辰雪币： 16 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	kell星辰 7 楼 [QUOTE=LOOOOOOOP;1269746]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe] "Debugge...[/QUOTE] 这个跟改注册表没啥关系吧 2014-3-21 19:07 0
kell星辰雪币： 16 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	kell星辰 8 楼设置OD为实时调试器，没用过，修改代码很容易被检测 2014-3-21 19:19 0
wuaiwu 雪币： 838 活跃值： (2822) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 9 楼额。好几种方法啊 1）最好用的方法，用od2.0，以od2.0启动主进程，设置附加选项，运行，子进程自动附加。 2）其次是od：windbg目录下的gflags，设置启动xx.exe进程自动附加od。 3）windbg：楼上已经给出方法 4）od：修改子进程入口点函数，修改oep为cc不一定能附加成功。那么修改往后的函数，比如mfc的，oninitdlg。条件是设置od为即时调试器 2014-3-21 19:41 0
AEVE 雪币： 1211 活跃值： (2730) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 94 粉丝 0 关注私信	AEVE 10 楼 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe] "Debugger"="D:\\Tools\\OllyICE\\OllyICE.exe" 可行不试不知道 2014-3-22 01:45 0
koflfy 雪币： 102 活跃值： (2045) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 11 楼 mark 2014-3-22 08:06 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 12 楼截取启动时的参数 , 再有看有无对 b 进程的内存读写 , 然后可以用od 启动来调试 2014-3-22 11:52 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 13 楼话说OD的即时调试器win8好像不给力哦，前辈还有什么好方法吗？ 2015-2-1 12:53 0
TigerLuo 雪币： 200 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	TigerLuo 14 楼收藏了,正用得上这方面的东西. 2015-3-30 22:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
紫夜星纱雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	紫夜星纱 2 楼挂起注入附加 2014-3-21 17:31 0
kell星辰雪币： 16 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	kell星辰 3 楼能具体点吗？ 2014-3-21 17:42 0
Rtsjx 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 131 粉丝 0 关注私信	Rtsjx 4 楼将b的入口点改为int3指令，并记下原来的指令，然后设置OD为实时调试器，这样b一旦运行到入口点就会被od捕捉下来。最后，恢复原来的指令继续执行即可。 2014-3-21 18:01 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 5 楼 windbg 挂上父进程 .childdbg 1 g 就行了 2014-3-21 18:33 0
LOOOOOOOP 雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	LOOOOOOOP 6 楼 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe] "Debugger"="D:\\Tools\\OllyICE\\OllyICE.exe" 2014-3-21 18:42 0
kell星辰雪币： 16 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	kell星辰 7 楼 [QUOTE=LOOOOOOOP;1269746]Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe] "Debugge...[/QUOTE] 这个跟改注册表没啥关系吧 2014-3-21 19:07 0
kell星辰雪币： 16 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 0 关注私信	kell星辰 8 楼设置OD为实时调试器，没用过，修改代码很容易被检测 2014-3-21 19:19 0
wuaiwu 雪币： 838 活跃值： (2822) 能力值： ( LV11，RANK：190 ) 在线值：发帖 21 回帖 151 粉丝 66 关注私信	wuaiwu 3 9 楼额。好几种方法啊 1）最好用的方法，用od2.0，以od2.0启动主进程，设置附加选项，运行，子进程自动附加。 2）其次是od：windbg目录下的gflags，设置启动xx.exe进程自动附加od。 3）windbg：楼上已经给出方法 4）od：修改子进程入口点函数，修改oep为cc不一定能附加成功。那么修改往后的函数，比如mfc的，oninitdlg。条件是设置od为即时调试器 2014-3-21 19:41 0
AEVE 雪币： 1211 活跃值： (2730) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 94 粉丝 0 关注私信	AEVE 10 楼 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\calc.exe] "Debugger"="D:\\Tools\\OllyICE\\OllyICE.exe" 可行不试不知道 2014-3-22 01:45 0
koflfy 雪币： 102 活跃值： (2045) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 11 楼 mark 2014-3-22 08:06 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 12 楼截取启动时的参数 , 再有看有无对 b 进程的内存读写 , 然后可以用od 启动来调试 2014-3-22 11:52 0
蚯蚓降龙雪币： 4938 活跃值： (977) 能力值： ( LV9，RANK：175 ) 在线值：发帖 3 回帖 248 粉丝 3 关注私信	蚯蚓降龙 13 楼话说OD的即时调试器win8好像不给力哦，前辈还有什么好方法吗？ 2015-2-1 12:53 0
TigerLuo 雪币： 200 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	TigerLuo 14 楼收藏了,正用得上这方面的东西. 2015-3-30 22:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复