首页
社区
课程
招聘
[已解决] 关于调试自建问题 50.00雪花
发表于: 2023-1-1 14:54 10663

[已解决] 关于调试自建问题 50.00雪花

2023-1-1 14:54
10663

我现在在自建调试,就重写了DbgkForwardException接管异常,
x64Dbg调试普通程序可以调试,也没用DebugPort端口,我试着调试ACE,也能接到异常,但是下的断点说什么未知断点,堆栈也不显示.,我过句柄回调用的是注册了一个低海拔的回调,权限应该没问题。因为我伪造进程了,他没扫我句柄表


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 1829
活跃值: (4045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

权限没弄利索,x64dbg获取线程句柄是复制,要处理复制后的权限问题


测试x64dbg能否暂停线程,不能就说明线程句柄权限不对

最后于 2023-1-3 09:51 被小希希编辑 ,原因: 细节
2023-1-3 09:36
0
雪    币: 2149
活跃值: (5178)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
小希希 权限没弄利索,x64dbg获取线程句柄是复制,要处理复制后的权限问题测试x64dbg能否暂停线程,不能就说明线程句柄权限不对
大佬,还需要线程的句柄权限吗?但是我注册了一个高度很低的回调,难道说是给我清楚了吗
那我如何解决这个复制句柄问题呢?总不能遍历句柄表提权吧
2023-1-4 08:40
0
雪    币: 1829
活跃值: (4045)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
//线程回调处理创建句柄,和复制句柄
if (pObPreOperationInfo->Operation == OB_OPERATION_HANDLE_CREATE || OB_OPERATION_HANDLE_DUPLICATE == pObPreOperationInfo->Operation)
            {
                pObPreOperationInfo->Parameters->CreateHandleInformation.DesiredAccess = THREAD_ALL_ACCESS;
            }
2023-1-4 13:35
0
雪    币: 6552
活跃值: (4346)
能力值: ( LV10,RANK:163 )
在线值:
发帖
回帖
粉丝
5
直接干
ObpCallPreOperationCallbacks
ObpCallPostOperationCallbacks
,其它的都是杂技。
2023-1-4 13:38
0
雪    币: 2149
活跃值: (5178)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
小希希 //线程回调处理创建句柄,和复制句柄 if (pObPreOperationInfo->Operation == OB_OPERATION_HANDLE_CREATE || OB_OPERAT ...
老哥 我之前是这样注册回调的
operations =
       { PsProcessType,//类型  进程类型
       OB_OPERATION_HANDLE_CREATE | OB_OPERATION_HANDLE_DUPLICATE,//操作 打开句柄 和 复制句柄
       OnPreOpenProcess,//回调前函数 这个是最有用的
       nullptr
       }
OB_PREOP_CALLBACK_STATUS OnPreOpenProcess(PVOID, POB_PRE_OPERATION_INFORMATION Info) {
       if (Info->KernelHandle) return OB_PREOP_SUCCESS;//内核 不处理

       //如果是本进程直接这样
       if(PsGetCurrentProcessId()==g_DebuggerId){
               Info->Parameters->CreateHandleInformation.DesiredAccess = PROCESS_ALL_ACCESS;
               
               KdPrint(("[+]In!\r\n"));
       }
       
       return OB_PREOP_SUCCESS;
}

但是还是不行 您这样和我不是差不多吗
2023-1-4 14:14
0
雪    币: 2149
活跃值: (5178)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
yimingqpa 直接干 ObpCallPreOperationCallbacks ObpCallPostOperationCallbacks ,其它的都是杂技。
老哥是啥意思呀 直接Hook?
2023-1-4 14:14
0
雪    币: 2149
活跃值: (5178)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
哦哦 我傻呗了 没注册线程回调 我试试哈
2023-1-4 14:15
0
雪    币: 2149
活跃值: (5178)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
9
小希希 //线程回调处理创建句柄,和复制句柄 if (pObPreOperationInfo->Operation == OB_OPERATION_HANDLE_CREATE || OB_OPERAT ...

哦哦 我傻呗了 没注册线程回调 我试试哈
2023-1-4 14:15
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
我也碰到问题了,但是木有人交流,求交流楼主。,我级别低,不能给你发私信
2023-4-27 22:57
0
游客
登录 | 注册 方可回帖
返回
//