首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]关于TP哪些事
发表于: 2014-5-20 20:16 5588

[讨论]关于TP哪些事

天涯何处 活跃值
2014-5-20 20:16
5588
NtOpenProcess
NtOpenThread
NtReadVirtualMemory
NtWriteVirtualMemory
KiAttachProcess

为什么过了这些函数还是OD打不开任何一个EXE文件呀,附加任何一个进程也不行,

哪个大牛给点提示呀不要调,就想知道为什么还是打不开文件,哪怕让OD能打开随便一个EXE文件也行啊

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (10)
yxhbboy
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
人家屏蔽了调试引擎,你怎么能打开?
2014-5-20 20:19
0
天涯何处
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
调试引擎是指KdDisableDebugger这个函数吗
2014-5-20 20:29
0
yxhbboy
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
上次看了个大概,没详细看,里面修改了很多调试的细节,不止这一处。
2014-5-20 20:30
0
djzbxxz
雪    币: 218
活跃值: (169)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
调试不了别的程序是因为对 DbgkDebugObjectType 动了手脚
2014-5-20 21:12
0
sidyhe
雪    币: 2143
活跃值: (720)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
6
32位系统下,除了一些明面上的HOOK,还有OBJECT钩子,最恶心的DEBUGPORT清零,反双机调试。
并不是你过了几个函数那么简单。
2014-5-20 21:52
0
天涯何处
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
这么看来这个TP确实是太难了
2014-5-20 22:54
0
阿农索
雪    币: 64
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
官方写驱动保护的都在本论坛潜水呢
2014-5-21 08:02
0
天涯何处
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
哦原来是这样子,看来环境还蛮饿恶劣的哦
2014-5-21 12:52
0
pcmyth
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
兄弟,我建议你用win7 64位,能省很多事,不用干什么事,用ce可以附加dnf,查看修改内存
2014-6-28 01:03
0
天涯何处
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
楼上的兄弟那有没有能用的OD呀,好像找出来的数据和32位下的有点不同呀
2014-6-29 01:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//