[原创]异常处理流程（三） SEH链的安装-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]异常处理流程（三） SEH链的安装

发表于: 2018-5-11 15:19 9077

[原创]异常处理流程（三） SEH链的安装

r0Cat

2018-5-11 15:19

9077

异常处理函数可以是自定义的函数，系统有一个默认的函数，但我们可以自定义一个异常处理函数，让它来处理。但是得先安装自定义函数才能使用。怎么安装呢？

调试器：OllyDbg

环境：win7 64位真机

看到FS寄存器里是7efdd000，在数据窗口跟随FS[0]，里面的是0018ffc4,如下图所示。

0018ffc4明显是一个堆栈地址，就在堆栈窗口中跟随 0018ffc4，堆栈注释那里显示SHE链尾部，如下图所示。

可见，SEH处理程序的尾部都存储于堆栈中。

它的下一行是0018ffc4，里面的内容是77A45845。右边注释了 “SE处理程序”，如上图所示，这里就是系统默认的异常处理函数的开始。可见，SEH处理程序的首地址也存储于堆栈中。并且首尾相邻。

那么我们自己的SEH呢？这里没有。

打开一个新程序，它安装了处理程序。有一处注释“SE处理程序安装”，是

Push smartmou.004066d8

这里是作者写的异常处理函数的入口是4066d8，如下图，

我们把它入栈，堆栈注释：“入口地址”。

接下来执行 mov eax FS[0]

FS[0]里是一个堆栈地址，根据上一个例子的经验，该堆栈地址存储着SEH处理程序的尾部，我们把这个堆栈地址里的值赋值给eax。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2018-5-13 10:16 被r0Cat编辑，原因：

#病毒木马 #系统底层 #调试逆向

收藏・7

免费・3

支持

最新回复 (7)
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 2 楼程序没有驱动反调试，但是一下任何断点就崩溃，是不是因为程序自带SHE呢？如何暴力剔除程序自带的异常处理呢？ 2021-3-16 12:36 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 192 关注私信	r0Cat 7 3 楼 hanwnpu 程序没有驱动反调试，但是一下任何断点就崩溃，是不是因为程序自带SHE呢？如何暴力剔除程序自带的异常处理呢？一下断点就崩溃应该是程序有完整性校验,用CC代替了指令的首字节,CRC校验不通过就崩溃了.一般是通过一个线程扫描的,你看看哪个线程可疑,敲掉他程序自带的seh有好有坏,至少那个全局seh肯定不能删,32位x86在栈上构建的seh,你把恶意的seh摘了试试,就改下结构体里的链表指针 2021-3-16 16:10 0
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 4 楼谢谢你能回复，应该不是crc,运行到断点才会崩溃，无论是硬件断点还是内存断点，感觉异常被程序本身接管了，OD收不到异常，我是64位系统。 2021-3-17 03:21 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 192 关注私信	r0Cat 7 5 楼 hanwnpu 谢谢你能回复，应该不是crc,运行到断点才会崩溃，无论是硬件断点还是内存断点，感觉异常被程序本身接管了，OD收不到异常，我是64位系统。我说的也不一定对兄弟,仅仅做个参考关键是定位到关键异常处理函数(前提是真的是通过SEH/VEH实现反调试).如果程序是x64的,seh结构体已经从x86时代,运行时在栈上构造提前到了编译时直接编译到PE文件里, 查看异常处理函数时,既可以通过IDA跳到替咱们解析好的异常处理函数,也可以写一个调试器脚本,解析NT头里的可选PE头里的数据目录里的异常处理,那里都是RUNTIME_FUNCTION结构体数组(IDA在函数头部按下X查看交叉引用的可跳转到该结构体,它类似于x86下在栈上构造的那个),然后根据他再解析出所有异常处理函数在哪里,然后分析出关键的handler把他patch掉另外可能在try-except(filter())里的filter()全局展开函数里就已经开始做手脚了,也需要留心. 还有你说在哪下都不行,是在任何一个地方下断崩溃还是在特定的函数下断崩溃?会不会在函数某些位置下断能检测到,其他位置检测不到?我就想也有可能是不是通过seh而是通过veh,全局异常处理来反调试的我写的seh反调试,并不是检测int3而是检测有没有调试器附加,虽然都实现了反调试但原理完全不同,反调试思路千变万化还有一种可能和seh/veh都没关系,而是从三环进0环在中间层做了反调试处理,我感觉这个的可能性很大,int3是一个软中断,在三环进零环的过程中被做了手脚,还有可能是当0环发现异常发生在三环时会返回三环,执行好像叫RtlDispatchException的函数,是不是那附近被挂钩子了,也不知道我说的不一定准确,但有一点,异常处理需要仔细研究每一个细节,如果不了解全部,无法准确定位真正的问题在哪.研究出来后记得回来发个帖子最后于 2021-3-20 13:49 被r0Cat编辑，原因： 2021-3-17 11:21 0
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 6 楼在OD 里对WSASend或任何函数下CC 硬断或内存断点，程序不执行不会出错，只要运行到下段的地方就会出错，感觉VEH派发异常的时候直接派发给了程序自身，程序是加壳的，用IDA怕是分析不了，脱壳后无法修复运行不了，HOOK列表里也看不出来什么，这种反断点挺普遍，我遇到好几个了，应该是用来同一款壳，一直搞不懂咋回事。 [PC Hunter Standard][MHClient-Connect.exe-->Ring3 Hook]: 106 挂钩对象挂钩位置钩子类型挂钩处当前值挂钩处原始值 G:\新世界墨\GodMxoNew\MHClient-Connect.exe 模块文件被替换，可能是模块升级后未重启程序导致的，也可能是被病毒劫持了 []len(1) ntdll.dll->DbgBreakPoint 0x0000000077E2000C->_ inline C3 CC []len(5) ntdll.dll->DbgUiRemoteBreakin 0x0000000077EAF142->_ inline E9 80 9C FB FF 6A 08 68 30 BB []len(1) ntdll.dll->DbgUserBreakPoint 0x0000000077E2000C->_ inline C3 CC []len(7) kernel32.dll->K32EnumProcessModulesEx 0x00000000758590C4->_ inline E9 87 B7 5D FB CC CC 6A 0C 68 28 91 85 75 []len(5) kernel32.dll->K32GetMappedFileNameW 0x000000007585949F->_ inline E9 BC B3 5D FB 8B FF 55 8B EC []len(5) kernel32.dll->K32GetModuleInformation 0x0000000075859149->_ inline E9 E2 B8 5D FB 68 90 00 00 00 []len(7) kernel32.dll->RegDeleteValueW 0x00000000757CEA5D->_ inline E9 7E 69 66 FB CC CC 6A 20 68 00 EB 7C 75 []len(7) kernel32.dll->RegQueryValueExW 0x00000000757B1EEE->_ inline E9 FD 34 68 FB CC CC 6A 2C 68 00 20 7B 75 []len(7) kernel32.dll->RegSetValueExA 0x00000000757C1409->_ inline E9 32 42 67 FB CC CC 6A 3C 68 30 15 7C 75 []len(7) kernel32.dll->RegSetValueExW 0x00000000757B5B85->_ inline E9 A6 FE 67 FB CC CC 6A 28 68 98 5C 7B 75 []len(5) KERNELBASE.dll->FreeLibrary 0x00000000765C2E7E->_ inline E9 ED 14 87 FA 8B FF 55 8B EC []len(5) KERNELBASE.dll->GetModuleHandleExW 0x00000000765C1EFA->_ inline E9 81 27 87 FA 8B FF 55 8B EC []len(5) KERNELBASE.dll->GetModuleHandleW 0x00000000765C1E4C->_ inline E9 1F 29 87 FA 8B FF 55 8B EC []len(5) KERNELBASE.dll->LoadLibraryExW 0x00000000765C2BDC->_ inline E9 5F 1E 87 FA 8B FF 55 8B EC []comctl32.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []ADVAPI32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 GDI32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []len(5) GDI32.dll->D3DKMTGetDisplayModeList 0x0000000075D6E773->_ inline E9 08 52 0C FB B8 6F 11 00 00 []len(5) GDI32.dll->D3DKMTQueryAdapterInfo 0x0000000075D6E9AD->_ inline E9 DE 4F 0C FB B8 81 11 00 00 []USER32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []len(5) USER32.dll->ChangeDisplaySettingsExW 0x0000000076830867->_ inline E9 54 2D 60 FA 8B FF 55 8B EC []len(5) USER32.dll->CreateWindowExW 0x00000000767E8A29->_ inline E9 12 AE 64 FA 8B FF 55 8B EC []len(5) USER32.dll->DisplayConfigGetDeviceInfo 0x0000000076847AF4->_ inline E9 D7 C7 5E FA 8B FF 55 8B EC []len(5) USER32.dll->EnumDisplayDevicesA 0x00000000767F5645->_ inline E9 B6 EC 63 FA 8B FF 55 8B EC []len(5) USER32.dll->EnumDisplayDevicesW 0x000000007680F61F->_ inline E9 3C 4D 62 FA 8B FF 55 8B EC []USP10.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 SHLWAPI.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []len(5) ole32.dll->CoCreateInstance 0x0000000075B89C5B->_ inline E9 80 9A 2A FB 8B FF 55 8B EC []len(5) ole32.dll->CoSetProxyBlanket 0x0000000075B55DD5->_ inline E9 26 DA 2D FB 8B FF 55 8B EC OLEAUT32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 WINSPOOL.DRV->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []MPR.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 IMM32.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 MSCTF.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []nvinit.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 VERSION.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []nvd3d9wrap.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 SETUPAPI.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []CFGMGR32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 nvdxgiwrap.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []winmm.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []SoundLib.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mss32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []MSVCR71.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []MSVCR71.dll->KERNEL32.dll:CreateProcessA 0x00000000757B1072->0x000000006DB1241B[C:\Windows\AppPatch\AcLayers.DLL] Iat 1B 24 B1 6D 72 10 7B 75 MSVCR71.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 []DINPUT8.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []WININET.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 urlmon.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 CRYPT32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []iertutil.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 opencc.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []FreeImage.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []srvcli.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []wkscli.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 CrashRpt1402.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []CrashRpt1402.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 liblz4.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PocoFoundation.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []PocoFoundation.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 []ntmarta.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []WLDAP32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 WebviewEdge.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 G:\新世界墨\GodMxoNew\WebView2Loader.dll 模块文件被替换，可能是模块升级后未重启程序导致的，也可能是被病毒劫持了 UxTheme.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []gdiplus.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []OLEACC.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 fwpuclnt.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 dwmapi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []SS3DRendererForMuk.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []d3d8.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []WINTRUST.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []nvumdshim.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 igdumdim32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []igdusc32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 BaseNetwork.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []comdlg32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssmp3.asi->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 mssvoice.asi->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssa3d.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssds3d.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssdx7.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []msseax.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 mssrsx.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssrsx.m3d->KERNEL32.dll:CreateProcessA 0x00000000757B1072->0x000000006DB1241B[C:\Windows\AppPatch\AcLayers.DLL] Iat 1B 24 B1 6D 72 10 7B 75 MSACM32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 msssoft.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 mssdsp.flt->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 DSOUND.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []POWRPROF.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []CLBCatQ.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 MMDevApi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PROPSYS.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []AUDIOSES.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []NLAapi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 napinsp.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []pnrpnsp.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 wshbth.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []SOGOUPY.IME->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PicFace.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PicFace.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 comctl32.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 rsaenh.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 bcrypt.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 [*]bcryptprimitives.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 2021-3-17 19:15 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 192 关注私信	r0Cat 7 7 楼可以看看崩溃时的调用栈,找到三环哪里触发了崩溃另外有时也受调试器版本,插件,设置,种类影响 2021-3-18 00:01 0
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 8 楼找出是哪的问题了，可以下段了，进游戏后程序会调用 RtlExitUserThread退出。他安装了很多SE，用了这个函数处理异常jmp msvcr71.__CxxFrameHandler，查不到这个函数的资料没法HOOK,我是直接在这个JMP 返回的，不进游戏随便下段，一进游戏几秒就被检测到了，直接RtlExitUserThread退出。帮我分析下这个函数什么意思。 2021-3-20 05:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

r0Cat

发帖

190

回帖

570

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 2 楼程序没有驱动反调试，但是一下任何断点就崩溃，是不是因为程序自带SHE呢？如何暴力剔除程序自带的异常处理呢？ 2021-3-16 12:36 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 192 关注私信	r0Cat 7 3 楼 hanwnpu 程序没有驱动反调试，但是一下任何断点就崩溃，是不是因为程序自带SHE呢？如何暴力剔除程序自带的异常处理呢？一下断点就崩溃应该是程序有完整性校验,用CC代替了指令的首字节,CRC校验不通过就崩溃了.一般是通过一个线程扫描的,你看看哪个线程可疑,敲掉他程序自带的seh有好有坏,至少那个全局seh肯定不能删,32位x86在栈上构建的seh,你把恶意的seh摘了试试,就改下结构体里的链表指针 2021-3-16 16:10 0
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 4 楼谢谢你能回复，应该不是crc,运行到断点才会崩溃，无论是硬件断点还是内存断点，感觉异常被程序本身接管了，OD收不到异常，我是64位系统。 2021-3-17 03:21 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 192 关注私信	r0Cat 7 5 楼 hanwnpu 谢谢你能回复，应该不是crc,运行到断点才会崩溃，无论是硬件断点还是内存断点，感觉异常被程序本身接管了，OD收不到异常，我是64位系统。我说的也不一定对兄弟,仅仅做个参考关键是定位到关键异常处理函数(前提是真的是通过SEH/VEH实现反调试).如果程序是x64的,seh结构体已经从x86时代,运行时在栈上构造提前到了编译时直接编译到PE文件里, 查看异常处理函数时,既可以通过IDA跳到替咱们解析好的异常处理函数,也可以写一个调试器脚本,解析NT头里的可选PE头里的数据目录里的异常处理,那里都是RUNTIME_FUNCTION结构体数组(IDA在函数头部按下X查看交叉引用的可跳转到该结构体,它类似于x86下在栈上构造的那个),然后根据他再解析出所有异常处理函数在哪里,然后分析出关键的handler把他patch掉另外可能在try-except(filter())里的filter()全局展开函数里就已经开始做手脚了,也需要留心. 还有你说在哪下都不行,是在任何一个地方下断崩溃还是在特定的函数下断崩溃?会不会在函数某些位置下断能检测到,其他位置检测不到?我就想也有可能是不是通过seh而是通过veh,全局异常处理来反调试的我写的seh反调试,并不是检测int3而是检测有没有调试器附加,虽然都实现了反调试但原理完全不同,反调试思路千变万化还有一种可能和seh/veh都没关系,而是从三环进0环在中间层做了反调试处理,我感觉这个的可能性很大,int3是一个软中断,在三环进零环的过程中被做了手脚,还有可能是当0环发现异常发生在三环时会返回三环,执行好像叫RtlDispatchException的函数,是不是那附近被挂钩子了,也不知道我说的不一定准确,但有一点,异常处理需要仔细研究每一个细节,如果不了解全部,无法准确定位真正的问题在哪.研究出来后记得回来发个帖子最后于 2021-3-20 13:49 被r0Cat编辑，原因： 2021-3-17 11:21 0
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 6 楼在OD 里对WSASend或任何函数下CC 硬断或内存断点，程序不执行不会出错，只要运行到下段的地方就会出错，感觉VEH派发异常的时候直接派发给了程序自身，程序是加壳的，用IDA怕是分析不了，脱壳后无法修复运行不了，HOOK列表里也看不出来什么，这种反断点挺普遍，我遇到好几个了，应该是用来同一款壳，一直搞不懂咋回事。 [PC Hunter Standard][MHClient-Connect.exe-->Ring3 Hook]: 106 挂钩对象挂钩位置钩子类型挂钩处当前值挂钩处原始值 G:\新世界墨\GodMxoNew\MHClient-Connect.exe 模块文件被替换，可能是模块升级后未重启程序导致的，也可能是被病毒劫持了 []len(1) ntdll.dll->DbgBreakPoint 0x0000000077E2000C->_ inline C3 CC []len(5) ntdll.dll->DbgUiRemoteBreakin 0x0000000077EAF142->_ inline E9 80 9C FB FF 6A 08 68 30 BB []len(1) ntdll.dll->DbgUserBreakPoint 0x0000000077E2000C->_ inline C3 CC []len(7) kernel32.dll->K32EnumProcessModulesEx 0x00000000758590C4->_ inline E9 87 B7 5D FB CC CC 6A 0C 68 28 91 85 75 []len(5) kernel32.dll->K32GetMappedFileNameW 0x000000007585949F->_ inline E9 BC B3 5D FB 8B FF 55 8B EC []len(5) kernel32.dll->K32GetModuleInformation 0x0000000075859149->_ inline E9 E2 B8 5D FB 68 90 00 00 00 []len(7) kernel32.dll->RegDeleteValueW 0x00000000757CEA5D->_ inline E9 7E 69 66 FB CC CC 6A 20 68 00 EB 7C 75 []len(7) kernel32.dll->RegQueryValueExW 0x00000000757B1EEE->_ inline E9 FD 34 68 FB CC CC 6A 2C 68 00 20 7B 75 []len(7) kernel32.dll->RegSetValueExA 0x00000000757C1409->_ inline E9 32 42 67 FB CC CC 6A 3C 68 30 15 7C 75 []len(7) kernel32.dll->RegSetValueExW 0x00000000757B5B85->_ inline E9 A6 FE 67 FB CC CC 6A 28 68 98 5C 7B 75 []len(5) KERNELBASE.dll->FreeLibrary 0x00000000765C2E7E->_ inline E9 ED 14 87 FA 8B FF 55 8B EC []len(5) KERNELBASE.dll->GetModuleHandleExW 0x00000000765C1EFA->_ inline E9 81 27 87 FA 8B FF 55 8B EC []len(5) KERNELBASE.dll->GetModuleHandleW 0x00000000765C1E4C->_ inline E9 1F 29 87 FA 8B FF 55 8B EC []len(5) KERNELBASE.dll->LoadLibraryExW 0x00000000765C2BDC->_ inline E9 5F 1E 87 FA 8B FF 55 8B EC []comctl32.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []ADVAPI32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 GDI32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []len(5) GDI32.dll->D3DKMTGetDisplayModeList 0x0000000075D6E773->_ inline E9 08 52 0C FB B8 6F 11 00 00 []len(5) GDI32.dll->D3DKMTQueryAdapterInfo 0x0000000075D6E9AD->_ inline E9 DE 4F 0C FB B8 81 11 00 00 []USER32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []len(5) USER32.dll->ChangeDisplaySettingsExW 0x0000000076830867->_ inline E9 54 2D 60 FA 8B FF 55 8B EC []len(5) USER32.dll->CreateWindowExW 0x00000000767E8A29->_ inline E9 12 AE 64 FA 8B FF 55 8B EC []len(5) USER32.dll->DisplayConfigGetDeviceInfo 0x0000000076847AF4->_ inline E9 D7 C7 5E FA 8B FF 55 8B EC []len(5) USER32.dll->EnumDisplayDevicesA 0x00000000767F5645->_ inline E9 B6 EC 63 FA 8B FF 55 8B EC []len(5) USER32.dll->EnumDisplayDevicesW 0x000000007680F61F->_ inline E9 3C 4D 62 FA 8B FF 55 8B EC []USP10.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 SHLWAPI.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []len(5) ole32.dll->CoCreateInstance 0x0000000075B89C5B->_ inline E9 80 9A 2A FB 8B FF 55 8B EC []len(5) ole32.dll->CoSetProxyBlanket 0x0000000075B55DD5->_ inline E9 26 DA 2D FB 8B FF 55 8B EC OLEAUT32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 WINSPOOL.DRV->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []MPR.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 IMM32.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 MSCTF.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []nvinit.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 VERSION.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []nvd3d9wrap.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 SETUPAPI.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []CFGMGR32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 nvdxgiwrap.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []winmm.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []SoundLib.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mss32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []MSVCR71.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []MSVCR71.dll->KERNEL32.dll:CreateProcessA 0x00000000757B1072->0x000000006DB1241B[C:\Windows\AppPatch\AcLayers.DLL] Iat 1B 24 B1 6D 72 10 7B 75 MSVCR71.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 []DINPUT8.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []WININET.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 urlmon.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 CRYPT32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []iertutil.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 opencc.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []FreeImage.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []srvcli.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []wkscli.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 CrashRpt1402.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []CrashRpt1402.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 liblz4.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PocoFoundation.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []PocoFoundation.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 []ntmarta.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []WLDAP32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 WebviewEdge.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 G:\新世界墨\GodMxoNew\WebView2Loader.dll 模块文件被替换，可能是模块升级后未重启程序导致的，也可能是被病毒劫持了 UxTheme.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []gdiplus.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []OLEACC.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 fwpuclnt.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 dwmapi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []SS3DRendererForMuk.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []d3d8.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []WINTRUST.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []nvumdshim.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 igdumdim32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []igdusc32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 BaseNetwork.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []comdlg32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssmp3.asi->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 mssvoice.asi->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssa3d.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssds3d.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssdx7.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []msseax.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 mssrsx.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []mssrsx.m3d->KERNEL32.dll:CreateProcessA 0x00000000757B1072->0x000000006DB1241B[C:\Windows\AppPatch\AcLayers.DLL] Iat 1B 24 B1 6D 72 10 7B 75 MSACM32.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 msssoft.m3d->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 mssdsp.flt->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 DSOUND.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []POWRPROF.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []CLBCatQ.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 MMDevApi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PROPSYS.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []AUDIOSES.DLL->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []NLAapi.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 napinsp.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []pnrpnsp.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 wshbth.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 []SOGOUPY.IME->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PicFace.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 PicFace.dll->KERNEL32.dll:CreateProcessW 0x00000000757B103D->0x000000006DB1258F[C:\Windows\AppPatch\AcLayers.DLL] Iat 8F 25 B1 6D 3D 10 7B 75 comctl32.dll[WinSxs]->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 rsaenh.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 bcrypt.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 [*]bcryptprimitives.dll->KERNEL32.dll:GetProcAddress 0x00000000757B1222->0x000000007051FFF6[C:\Windows\syswow64\apphelp.dll] Iat F6 FF 51 70 22 12 7B 75 2021-3-17 19:15 0
r0Cat 雪币： 8715 活跃值： (8619) 能力值： ( LV13，RANK：570 ) 在线值：发帖 40 回帖 190 粉丝 192 关注私信	r0Cat 7 7 楼可以看看崩溃时的调用栈,找到三环哪里触发了崩溃另外有时也受调试器版本,插件,设置,种类影响 2021-3-18 00:01 0
hanwnpu 雪币： 35 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	hanwnpu 8 楼找出是哪的问题了，可以下段了，进游戏后程序会调用 RtlExitUserThread退出。他安装了很多SE，用了这个函数处理异常jmp msvcr71.__CxxFrameHandler，查不到这个函数的资料没法HOOK,我是直接在这个JMP 返回的，不进游戏随便下段，一进游戏几秒就被检测到了，直接RtlExitUserThread退出。帮我分析下这个函数什么意思。 2021-3-20 05:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复