调试附加成功硬件断点和普通断点失效的问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
scz 雪币： 4797 活跃值： (3792) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 252 粉丝 66 关注私信	scz 5 2 楼上这个试过没？ https://github.com/x64dbg/ScyllaHide 2024-1-4 08:38 0
huangyalei 雪币： 25283 活跃值： (4717) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 3 楼断点会产生异常，看看异常处理里面有没有检测 2024-1-4 11:15 0
白了兔了小雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	白了兔了小 4 楼 scz 上这个试过没？ https://github.com/x64dbg/ScyllaHide ScyllaHide 尝试过也不行能附加不能下断点. 下断点就卡死然后程序退出 2024-1-5 14:00 0
白了兔了小雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	白了兔了小 5 楼是程序运行到断点处就会卡死 2024-1-5 14:01 0
白了兔了小雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	白了兔了小 6 楼 HyperHide 尝试使用这个插件...... 证书已吊销弄不了.. 2024-1-5 14:02 0
mb_tcheuwvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	mb_tcheuwvg 7 楼样本可以发一下吗 2024-1-8 10:01 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 8 楼这个问题我也遇到了。附加后，干啥都行。下断也没啥问题，前提是没有触发断点。一触发就卡死退出，看了下，好像是程序不知道有调试器。遇到int3异常（我下硬件断点）就卡死程序退出。不知道你解决这个问题了没有 2024-7-25 19:31 0
coneco 雪币： 4914 活跃值： (4612) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 134 粉丝 73 关注私信	coneco 3 9 楼应该是ThreadHideFromDebugger标志设置了，Scylla Hide选择NtSetInformationThread。 2024-7-25 20:07 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 10 楼 coneco 应该是ThreadHideFromDebugger标志设置了，Scylla Hide选择NtSetInformationThread。 Scylla Hide 使用Base的Profile方案试过。也使用Vmp的方案（这个方案基本是全钩上了，包括NtSetInformationThread）试过，情况依旧，只要运行到EIP就完蛋，进程已停止，退出码为 0x4000001F (1073741855) 2024-7-29 01:13 0
coneco 雪币： 4914 活跃值： (4612) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 134 粉丝 73 关注私信	coneco 3 11 楼 zjchxj Scylla Hide 使用Base的Profile方案试过。也使用Vmp的方案（这个方案基本是全钩上了，包括NtSetInformationThread）试过，情况依旧，只要运行到EIP就完蛋，进程 ... 那可能是通过内核的方式，把debugport清空了。 2024-7-29 10:15 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 12 楼 coneco 那可能是通过内核的方式，把debugport清空了。应该不是吧。没有看到加载驱动的操作啊，附加什么的都正常的。读写内存也没问题。其实下断也没有问题。只要没有遇到EIP没有运行到断点之前。都正常，我看了下 0x4000001F 这个好像是程序不知道我们用了调试器。然后又碰到了断点。所以程序就崩了 2024-7-29 14:41 0
coneco 雪币： 4914 活跃值： (4612) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 134 粉丝 73 关注私信	coneco 3 13 楼 debugport是被调试程序和调试器沟通的桥梁，从你的描述来看就是debugport为空的情况，最好验证一下，用windbg打开本地内核调试，看下debugport是否为空（先排查问题，是否涉及驱动可以之后确认，毕竟确认debugport的成本更低一点）。如果不是的话，那就没办法了。 2024-7-29 15:05 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 14 楼 coneco debugport是被调试程序和调试器沟通的桥梁，从你的描述来看就是debugport为空的情况，最好验证一下，用windbg打开本地内核调试，看下debugport是否为空（先排查问题，是否涉及驱动 ... 这几天我测试了好多次，有一次附加的时候因为上次的调试下的短点，居然可以停下来。然后隔了好几分钟。再下断，问题，依旧。但是，在这之前。我用CE的VEH调试器。怎么下断调试都可以。我怀疑程序本身不停设置。把xdbg的调试权限抢了过去。这样遇到了断点。xdbg无法停下来。权限在程序本身。程序本身又不处理断点的异常。所以就崩溃消息，这个软件是怎么做到了。CE的VEH调试模式为啥不受影响这个是一个端游，巨某人公司下的征多次途II的 2024-8-1 10:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
scz 雪币： 4797 活跃值： (3792) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 252 粉丝 66 关注私信	scz 5 2 楼上这个试过没？ https://github.com/x64dbg/ScyllaHide 2024-1-4 08:38 0
huangyalei 雪币： 25283 活跃值： (4717) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 376 粉丝 9 关注私信	huangyalei 3 楼断点会产生异常，看看异常处理里面有没有检测 2024-1-4 11:15 0
白了兔了小雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	白了兔了小 4 楼 scz 上这个试过没？ https://github.com/x64dbg/ScyllaHide ScyllaHide 尝试过也不行能附加不能下断点. 下断点就卡死然后程序退出 2024-1-5 14:00 0
白了兔了小雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	白了兔了小 5 楼是程序运行到断点处就会卡死 2024-1-5 14:01 0
白了兔了小雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	白了兔了小 6 楼 HyperHide 尝试使用这个插件...... 证书已吊销弄不了.. 2024-1-5 14:02 0
mb_tcheuwvg 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	mb_tcheuwvg 7 楼样本可以发一下吗 2024-1-8 10:01 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 8 楼这个问题我也遇到了。附加后，干啥都行。下断也没啥问题，前提是没有触发断点。一触发就卡死退出，看了下，好像是程序不知道有调试器。遇到int3异常（我下硬件断点）就卡死程序退出。不知道你解决这个问题了没有 2024-7-25 19:31 0
coneco 雪币： 4914 活跃值： (4612) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 134 粉丝 73 关注私信	coneco 3 9 楼应该是ThreadHideFromDebugger标志设置了，Scylla Hide选择NtSetInformationThread。 2024-7-25 20:07 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 10 楼 coneco 应该是ThreadHideFromDebugger标志设置了，Scylla Hide选择NtSetInformationThread。 Scylla Hide 使用Base的Profile方案试过。也使用Vmp的方案（这个方案基本是全钩上了，包括NtSetInformationThread）试过，情况依旧，只要运行到EIP就完蛋，进程已停止，退出码为 0x4000001F (1073741855) 2024-7-29 01:13 0
coneco 雪币： 4914 活跃值： (4612) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 134 粉丝 73 关注私信	coneco 3 11 楼 zjchxj Scylla Hide 使用Base的Profile方案试过。也使用Vmp的方案（这个方案基本是全钩上了，包括NtSetInformationThread）试过，情况依旧，只要运行到EIP就完蛋，进程 ... 那可能是通过内核的方式，把debugport清空了。 2024-7-29 10:15 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 12 楼 coneco 那可能是通过内核的方式，把debugport清空了。应该不是吧。没有看到加载驱动的操作啊，附加什么的都正常的。读写内存也没问题。其实下断也没有问题。只要没有遇到EIP没有运行到断点之前。都正常，我看了下 0x4000001F 这个好像是程序不知道我们用了调试器。然后又碰到了断点。所以程序就崩了 2024-7-29 14:41 0
coneco 雪币： 4914 活跃值： (4612) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 134 粉丝 73 关注私信	coneco 3 13 楼 debugport是被调试程序和调试器沟通的桥梁，从你的描述来看就是debugport为空的情况，最好验证一下，用windbg打开本地内核调试，看下debugport是否为空（先排查问题，是否涉及驱动可以之后确认，毕竟确认debugport的成本更低一点）。如果不是的话，那就没办法了。 2024-7-29 15:05 0
zjchxj 雪币： 844 活跃值： (660) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	zjchxj 14 楼 coneco debugport是被调试程序和调试器沟通的桥梁，从你的描述来看就是debugport为空的情况，最好验证一下，用windbg打开本地内核调试，看下debugport是否为空（先排查问题，是否涉及驱动 ... 这几天我测试了好多次，有一次附加的时候因为上次的调试下的短点，居然可以停下来。然后隔了好几分钟。再下断，问题，依旧。但是，在这之前。我用CE的VEH调试器。怎么下断调试都可以。我怀疑程序本身不停设置。把xdbg的调试权限抢了过去。这样遇到了断点。xdbg无法停下来。权限在程序本身。程序本身又不处理断点的异常。所以就崩溃消息，这个软件是怎么做到了。CE的VEH调试模式为啥不受影响这个是一个端游，巨某人公司下的征多次途II的 2024-8-1 10:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复