-
-
新手又遇拦路虎之 OD跟踪程序重新启动计算机(怪怪怪)
-
发表于:
2006-4-15 05:38
3984
-
新手又遇拦路虎之 OD跟踪程序重新启动计算机(怪怪怪)
最近写双进程壳,遇到一个怪问题,就是用OD跟踪老是立即重新启动计算机,在别人机上测试的结果不是立即重新启动就是蓝屏,当时怪兴奋的---"原来双进程壳反天生就是反跟踪的啊",后来想了下,导致系统崩溃的原因可能是,在打开进程句柄的时候将系统服务进程打开了,一往里面插入代码执行,就会引发异常,而系统服务进程通常和KMD驱动是联系在一起的,所以也会间接导致驱动异常,ring0下的异常发生了,就无法避免了,由此而导致系统崩溃.而打开系统服务进程需要高权限,我的壳肯定没那么高的权限(没改过).自己单独运行,怎么也不会导致系统崩溃,然而换成OD跟踪后,就会导致上述问题.我想OD的权限应该会很高的,毕竟是调试器么.想到这问题出来了,在OD中F7跟踪肯定会发生这些情况(由此看各位在用OD跟踪双进程壳的时候一定要注意到OpenProcessThread关系的那个进程ID是不是系统服务进程的,如果是,则要跳过不执行,否则系统就崩溃了),但是按F9直接运行又不会,换个说法,就是跟踪的时候壳的进程权限突然被提高,而F9的时候好象壳的进程权限又恢复正常.不知道OD在这执行方式上有什么区别没有?请高手赐教
[课程]FART 脱壳王!加量不加价!FART作者讲授!
