首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[讨论]调试TP问题
发表于: 2015-5-8 23:15 7411

[讨论]调试TP问题

wgejydy 活跃值
1
2015-5-8 23:15
7411
只是用作学习之用,在以前测试绕过TP保护调试游戏都是正常的,最近突然发现一附加游戏的时候会蓝屏,蓝屏代码是INVALID_PROCESS_ATTACH_ATTEMPT,分析了下蓝屏代码,发现附加游戏的时候OD所在线程的APC状态索引为1,意思就是已经附加了游戏。后来经过如下逆向分析发现,OD会调用KeStackAttachProcess  附加几次,但是发现最后一次附加之后没有Deatch,之后OD再调用KeAttachProcess  附加游戏就蓝屏,请问有别人遇到过吗,这是新的反调试还是啥BUG

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
sysercn
雪    币: 116
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
关注下 我也遇到此问题了 不过我遇到的是

INVALID_PROCESS_DETTACH_ATTEMPT
2015-5-9 08:35
0
sysercn
雪    币: 116
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
好像是TPHook的这两个函数导致的 你恢复这两个函数 就不会出现错误了
NtAllocateVirtualMemory
NtProtectVirtualMemory

但是具体原因有待分析
2015-5-9 08:53
0
wgejydy
雪    币: 70
活跃值: (37)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
多谢了,还真是这里的问题,不过应该是TP的BUG,我跟了好久都是在NtCreateThreadEx里面KeStackAttachProcess之后,创建用户栈那里判断失败而没调用KeUnstackDetachProcess ,之后OD的调试线程APC索引是1,导致的KeAttachProcess判断KTHREAD 里面的ApcState而蓝屏的,不过懒得管了,应该是个BUG
2015-5-9 09:59
0
sysercn
雪    币: 116
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
希望你能分析下 目前我在答辩没时间具体分析 感觉不像Bug 正常情况下没问题
2015-5-9 10:20
0
gtslzlcd
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
@wgejydy @sysercn
你们好,我正在研究TP,可以问下你们的QQ吗?或者加我的QQ:【四4五5744三】想请教些问题,多谢!
2015-5-27 23:49
0
慢吞吞
雪    币: 22
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
NtAllocateVirtualMemory
NtProtectVirtualMemory
mark,新手学习
2015-6-3 14:52
0
viznet
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
mark
2015-6-4 15:22
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//