[讨论]OD附加某被保护的游戏，游戏马上退出-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]OD附加某被保护的游戏，游戏马上退出

发表于: 2017-7-22 21:14 18418

[讨论]OD附加某被保护的游戏，游戏马上退出

wx_大简，

2017-7-22 21:14

18418

HideFromDebugger也处理了，WIN7/64下看了，也没调试端口清了，而ValidAccessMask清0了处理了（后来甚至自建调试对象写到DbgkDebugObjectType去也试了） SOD配置OD，换了多个OD都是：

附加某游戏，附加后，OD左下角创建线程完成后，加载模块前，游戏就自动退出来了，模块一个也没加载进来就退出了

请问这种情况一般是检测到什么了。。特奇怪，研究好几天了找不到原因

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・6

免费・0

支持

最新回复 (22)
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 2 楼顶。。。求大神指点 2017-7-23 14:35 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 3 楼反调试，调试端口没清干净吧 2017-7-24 01:56 0
任飞guan 雪币： 1432 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 1 关注私信	任飞guan 4 楼啥也不说了，感谢楼主分享哇！ 2017-7-24 08:52 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 5 楼 ring3 钩子钩子钩子重要的事情说三遍别继续追问我不会回答你的请自行百度 2017-7-24 09:20 0
yueqian岳雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 19 粉丝 0 关注私信	yueqian岳 6 楼嗯嗯 2017-7-24 10:10 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 7 楼 sorrywyb 反调试，调试端口没清干净吧 x64不用处理debugport 2017-7-25 14:54 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 8 楼 hzqst ring3 钩子钩子钩子重要的事情说三遍别继续追问我不会回答你的请自行百度我用pchunter恢复所有R3钩子，游戏大概过2~3秒就退出了。所以，我想了一个方法，我先将OD附加准备好，再用pchunter恢复所有R3钩子后立马切到OD附加（在游戏退出前附加）结果，和我楼上说的情况一样，附加加载完线程，还没加载模块就游戏退出了。这样就已经把R3钩子全清了。。一样情况。。。所以真是R3钩子说不通吧 2017-7-25 14:59 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 9 楼 2017-7-25 21:00 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 10 楼 2017-7-26 11:11 0
huxiaoyi 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 34 粉丝 0 关注私信	huxiaoyi 11 楼我知道你是什么游戏是 league of legends 2017-7-26 11:16 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 12 楼 huxiaoyi 我知道你是什么游戏是 league of legends 还真不是 2017-7-26 20:53 0
Elias恩子雪币： 1163 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 19 粉丝 0 关注私信	Elias恩子 13 楼顶。。。 2017-7-27 09:51 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 14 楼顶。。。 2017-7-27 13:12 0
CokeQing 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	CokeQing 15 楼 OD附加时会创建一个远程线程触发第一次调试中断，而创建线程时会给所有DLL发送DLL_THREAD_ATTACH通知。检测一个不在白名单内的线程起始地址就可以认为有调试器附加。 2017-7-27 14:08 0
CokeQing 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	CokeQing 16 楼 64位下的WOW64进程拥有两个PEB，SOD只处理了一个，检测另一个PEB也可以认为有调试器附加 2017-7-27 14:11 0
CokeQing 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	CokeQing 17 楼有帮助的话给老子点赞听到没有 2017-7-27 14:14 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 18 楼 CokeQing OD附加时会创建一个远程线程触发第一次调试中断，而创建线程时会给所有DLL发送DLL_THREAD_ATTACH通知。检测一个不在白名单内的线程起始地址就可以认为有调试器附加。通过DisableThreadLibraryCalls就处理了CreateThreadFlags让进程创建新线程时每个线程收不到DLL_THREAD_ATTACH 2017-8-1 15:39 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 19 楼 CokeQing 64位下的WOW64进程拥有两个PEB，SOD只处理了一个，检测另一个PEB也可以认为有调试器附加这个就更别说了，最新只有一个进程了。 2017-8-1 15:40 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 20 楼顶起来 2017-8-1 21:27 0
俗世的途客雪币： 11 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	俗世的途客 21 楼顶起来 2018-3-11 21:10 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 22 楼 mark 2018-3-11 21:53 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 23 楼 wx_大简，通过DisableThreadLibraryCalls就处理了CreateThreadFlags让进程创建新线程时每个线程收不到DLL_THREAD_ATTACH 兄弟，这个问题处理了没，我也遇到相同的问题 2018-3-14 00:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_大简，

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 2 楼顶。。。求大神指点 2017-7-23 14:35 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 3 楼反调试，调试端口没清干净吧 2017-7-24 01:56 0
任飞guan 雪币： 1432 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 127 粉丝 1 关注私信	任飞guan 4 楼啥也不说了，感谢楼主分享哇！ 2017-7-24 08:52 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 5 楼 ring3 钩子钩子钩子重要的事情说三遍别继续追问我不会回答你的请自行百度 2017-7-24 09:20 0
yueqian岳雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 19 粉丝 0 关注私信	yueqian岳 6 楼嗯嗯 2017-7-24 10:10 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 7 楼 sorrywyb 反调试，调试端口没清干净吧 x64不用处理debugport 2017-7-25 14:54 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 8 楼 hzqst ring3 钩子钩子钩子重要的事情说三遍别继续追问我不会回答你的请自行百度我用pchunter恢复所有R3钩子，游戏大概过2~3秒就退出了。所以，我想了一个方法，我先将OD附加准备好，再用pchunter恢复所有R3钩子后立马切到OD附加（在游戏退出前附加）结果，和我楼上说的情况一样，附加加载完线程，还没加载模块就游戏退出了。这样就已经把R3钩子全清了。。一样情况。。。所以真是R3钩子说不通吧 2017-7-25 14:59 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 9 楼 2017-7-25 21:00 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 10 楼 2017-7-26 11:11 0
huxiaoyi 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 34 粉丝 0 关注私信	huxiaoyi 11 楼我知道你是什么游戏是 league of legends 2017-7-26 11:16 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 12 楼 huxiaoyi 我知道你是什么游戏是 league of legends 还真不是 2017-7-26 20:53 0
Elias恩子雪币： 1163 活跃值： (295) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 19 粉丝 0 关注私信	Elias恩子 13 楼顶。。。 2017-7-27 09:51 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 14 楼顶。。。 2017-7-27 13:12 0
CokeQing 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	CokeQing 15 楼 OD附加时会创建一个远程线程触发第一次调试中断，而创建线程时会给所有DLL发送DLL_THREAD_ATTACH通知。检测一个不在白名单内的线程起始地址就可以认为有调试器附加。 2017-7-27 14:08 0
CokeQing 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	CokeQing 16 楼 64位下的WOW64进程拥有两个PEB，SOD只处理了一个，检测另一个PEB也可以认为有调试器附加 2017-7-27 14:11 0
CokeQing 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	CokeQing 17 楼有帮助的话给老子点赞听到没有 2017-7-27 14:14 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 18 楼 CokeQing OD附加时会创建一个远程线程触发第一次调试中断，而创建线程时会给所有DLL发送DLL_THREAD_ATTACH通知。检测一个不在白名单内的线程起始地址就可以认为有调试器附加。通过DisableThreadLibraryCalls就处理了CreateThreadFlags让进程创建新线程时每个线程收不到DLL_THREAD_ATTACH 2017-8-1 15:39 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 19 楼 CokeQing 64位下的WOW64进程拥有两个PEB，SOD只处理了一个，检测另一个PEB也可以认为有调试器附加这个就更别说了，最新只有一个进程了。 2017-8-1 15:40 0
wx_大简，雪币： 209 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 21 粉丝 0 关注私信	wx_大简， 20 楼顶起来 2017-8-1 21:27 0
俗世的途客雪币： 11 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	俗世的途客 21 楼顶起来 2018-3-11 21:10 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 22 楼 mark 2018-3-11 21:53 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 23 楼 wx_大简，通过DisableThreadLibraryCalls就处理了CreateThreadFlags让进程创建新线程时每个线程收不到DLL_THREAD_ATTACH 兄弟，这个问题处理了没，我也遇到相同的问题 2018-3-14 00:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复