[求助]怎么用OD调试被隐藏的进程?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 2 楼右键-运行方式-确定 2007-10-29 18:52 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 3 楼上面的不厚道啊,这叫什么答案?? 2007-10-29 19:27 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 4 楼用iceworld获得PId值命令行： :OllyDbg.exe –p pid值 2007-10-29 19:27 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 5 楼 iceworld是什么东东？冰雪世界？？？ 2007-10-29 19:33 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼拼错了，是IceSword task manager能看到，你从task manager得到pid一样的。 http://www.pediy.com/tools/spy_tools/IceSword/IceSword.cn.rar 2007-10-29 19:38 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 7 楼我推荐此人当翻译版的版主 2007-10-29 19:39 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 8 楼非常感谢kanxue! 不过我按照你的方法试了, 我用spy++得到的pid, 可是运行了命令后,不能弹出od. 因为在task manager里可以看到这个进程,我把od设为即时调试器,在task manager里右键点击这个进程,然后点debug,可是提示od不能作为即时调试器附加到这个进程,还是没有办法调试... 想在VC2005下attach试下,可也看不到进程还有什么别的办法吗? 我找找调试器原理的书看下,期待老大的提示... 谢谢 2007-10-30 10:10 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 9 楼 :ollyice.exe -p e54 :ollyice.exe -p 3668 :ollydbg.exe -p 3668 :ollydbg.exe -p e54 :ollydbg.exe-p e54 :ollydbg.exe-p 3668 上面是我试的命令, e54是16进制, 3668 是10进制,都没有反应 2007-10-30 10:12 0
手链魔咒雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 49 粉丝 0 关注私信	手链魔咒 10 楼直接OD打开不就行了?? 但是有些程序有运行参数.打开是不行的.比如网游的客户端. 其实有个简单的办法.下个长角牛的任务管理器.这个任务管理器可以看到进程所在的文件夹和运行参数记下它的参数在OD中直接运行就可以了! 2007-10-30 11:27 0
手链魔咒雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 49 粉丝 0 关注私信	手链魔咒 11 楼对了.对于某些反调试的.再加上调试Themida的hidetoolz... 2007-10-30 11:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼好像是cs地图 2007-10-30 11:58 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 13 楼我试下,谢谢楼上兄弟! 2007-10-30 12:18 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 14 楼 hidetoolz我原来用过了,这个只能防od被检测到,不过我试了好几个程序,有的好使有的不好使,这个主要是反od加载的,我还在跟,不行就用softice了 2007-10-30 12:56 0
DPLJ 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	DPLJ 15 楼 10楼的方法可以试一下 2007-10-30 17:46 0
shellnewer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	shellnewer 16 楼我也被这东西困了好久。。。我奇怪的是为什么这些进程能在OD的process窗口消失呢...自己随便写个测试程序都能枚举的这些进程的。。越来越多程序这样了。。难道是针对OD对查找进程的相关函数进行HOOK了吗？/// 2007-10-31 14:16 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 17 楼呵呵,哥们我耍你干吗? 右键-运行方式-确定是系统限制级运行程序. 在OD下隐藏进程应该就是用了驱动保护,限制级运行不能加载驱动. 如果运行成功那么驱动加载失败,隐藏等驱动保护也就失败. 2007-11-7 22:15 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 18 楼你从OD启动程序先把驱动卸载掉再选择附加进程。 2007-11-10 08:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 2 楼右键-运行方式-确定 2007-10-29 18:52 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 3 楼上面的不厚道啊,这叫什么答案?? 2007-10-29 19:27 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 4 楼用iceworld获得PId值命令行： :OllyDbg.exe –p pid值 2007-10-29 19:27 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 5 楼 iceworld是什么东东？冰雪世界？？？ 2007-10-29 19:33 0
kanxue 雪币： 47147 活跃值： (20415) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 6 楼拼错了，是IceSword task manager能看到，你从task manager得到pid一样的。 http://www.pediy.com/tools/spy_tools/IceSword/IceSword.cn.rar 2007-10-29 19:38 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 7 楼我推荐此人当翻译版的版主 2007-10-29 19:39 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 8 楼非常感谢kanxue! 不过我按照你的方法试了, 我用spy++得到的pid, 可是运行了命令后,不能弹出od. 因为在task manager里可以看到这个进程,我把od设为即时调试器,在task manager里右键点击这个进程,然后点debug,可是提示od不能作为即时调试器附加到这个进程,还是没有办法调试... 想在VC2005下attach试下,可也看不到进程还有什么别的办法吗? 我找找调试器原理的书看下,期待老大的提示... 谢谢 2007-10-30 10:10 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 9 楼 :ollyice.exe -p e54 :ollyice.exe -p 3668 :ollydbg.exe -p 3668 :ollydbg.exe -p e54 :ollydbg.exe-p e54 :ollydbg.exe-p 3668 上面是我试的命令, e54是16进制, 3668 是10进制,都没有反应 2007-10-30 10:12 0
手链魔咒雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 49 粉丝 0 关注私信	手链魔咒 10 楼直接OD打开不就行了?? 但是有些程序有运行参数.打开是不行的.比如网游的客户端. 其实有个简单的办法.下个长角牛的任务管理器.这个任务管理器可以看到进程所在的文件夹和运行参数记下它的参数在OD中直接运行就可以了! 2007-10-30 11:27 0
手链魔咒雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 49 粉丝 0 关注私信	手链魔咒 11 楼对了.对于某些反调试的.再加上调试Themida的hidetoolz... 2007-10-30 11:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼好像是cs地图 2007-10-30 11:58 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 13 楼我试下,谢谢楼上兄弟! 2007-10-30 12:18 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 14 楼 hidetoolz我原来用过了,这个只能防od被检测到,不过我试了好几个程序,有的好使有的不好使,这个主要是反od加载的,我还在跟,不行就用softice了 2007-10-30 12:56 0
DPLJ 雪币： 217 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	DPLJ 15 楼 10楼的方法可以试一下 2007-10-30 17:46 0
shellnewer 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	shellnewer 16 楼我也被这东西困了好久。。。我奇怪的是为什么这些进程能在OD的process窗口消失呢...自己随便写个测试程序都能枚举的这些进程的。。越来越多程序这样了。。难道是针对OD对查找进程的相关函数进行HOOK了吗？/// 2007-10-31 14:16 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 17 楼呵呵,哥们我耍你干吗? 右键-运行方式-确定是系统限制级运行程序. 在OD下隐藏进程应该就是用了驱动保护,限制级运行不能加载驱动. 如果运行成功那么驱动加载失败,隐藏等驱动保护也就失败. 2007-11-7 22:15 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 18 楼你从OD启动程序先把驱动卸载掉再选择附加进程。 2007-11-10 08:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复