[求助]请问OD调试失效！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 2 楼先搞定读取程序内存 2008-2-20 11:13 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼 ??“先搞定读取程序内存”？？不明白。一开始是能读取的啊，用OD加载的。否则我也无法在那些地方下断，修改内存了。就是在程序完全跑起来之后，所有的东西全空了。 2008-2-20 12:07 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 4 楼程序跑起来以后让od不能读取他的内存, 所以od显示的都是空的 2008-2-20 14:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼 ThreadHideFromDebugger 2008-2-20 17:24 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 6 楼 ZwSetInformationThread与ZwSetInformationProcess要怎么过？搜索了一下论坛，有贴子说：“ZwSetInformationThread(GetCurrentThread( ), ThreadHideFromDebugger, NULL, 0)) 是不是这个？要过它太简单了入口代码用patch过的od就可以断下来，那也太简单了。。” 我直接下断retn 10好像不行，仍然全空白。这两个函数在进程中被调用>3次。请高手指教。 2008-2-21 11:20 0
scz 雪币： 4802 活跃值： (3797) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 252 粉丝 66 关注私信	scz 5 7 楼你搜的是啥关键字。看这个吧 (4) NtSetInformationThread ntdll!NtSetInformationThread is a wrapper around the ZwSetInformationThread syscall. Its prototype is the following: NTSYSAPI NTSTATUS NTAPI NtSetInformationThread( IN HANDLE ThreadHandle, IN THREAD_INFORMATION_CLASS ThreadInformationClass, IN PVOID ThreadInformation, IN ULONG ThreadInformationLength ); When called with ThreadInformationClass set to 0x11 (ThreadHideFromDebugger constant), the thread will be detached from the debugger. Similarly to ZwQueryInformationProcess, circumventing this anti-debug requires either modifying ZwSetInformationThread parameters before it's called, or hooking the syscall directly with the use of a kernel driver. Example: push 0 push 0 push 11h ;ThreadHideFromDebugger push -2 call NtSetInformationThread ;thread detached if debugged ;... 2008-3-3 15:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 2 楼先搞定读取程序内存 2008-2-20 11:13 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 3 楼 ??“先搞定读取程序内存”？？不明白。一开始是能读取的啊，用OD加载的。否则我也无法在那些地方下断，修改内存了。就是在程序完全跑起来之后，所有的东西全空了。 2008-2-20 12:07 0
theOcrat 雪币： 66 活跃值： (15) 能力值： ( LV9，RANK：330 ) 在线值：发帖 27 回帖 228 粉丝 2 关注私信	theOcrat 8 4 楼程序跑起来以后让od不能读取他的内存, 所以od显示的都是空的 2008-2-20 14:34 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼 ThreadHideFromDebugger 2008-2-20 17:24 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 6 楼 ZwSetInformationThread与ZwSetInformationProcess要怎么过？搜索了一下论坛，有贴子说：“ZwSetInformationThread(GetCurrentThread( ), ThreadHideFromDebugger, NULL, 0)) 是不是这个？要过它太简单了入口代码用patch过的od就可以断下来，那也太简单了。。” 我直接下断retn 10好像不行，仍然全空白。这两个函数在进程中被调用>3次。请高手指教。 2008-2-21 11:20 0
scz 雪币： 4802 活跃值： (3797) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 252 粉丝 66 关注私信	scz 5 7 楼你搜的是啥关键字。看这个吧 (4) NtSetInformationThread ntdll!NtSetInformationThread is a wrapper around the ZwSetInformationThread syscall. Its prototype is the following: NTSYSAPI NTSTATUS NTAPI NtSetInformationThread( IN HANDLE ThreadHandle, IN THREAD_INFORMATION_CLASS ThreadInformationClass, IN PVOID ThreadInformation, IN ULONG ThreadInformationLength ); When called with ThreadInformationClass set to 0x11 (ThreadHideFromDebugger constant), the thread will be detached from the debugger. Similarly to ZwQueryInformationProcess, circumventing this anti-debug requires either modifying ZwSetInformationThread parameters before it's called, or hooking the syscall directly with the use of a kernel driver. Example: push 0 push 0 push 11h ;ThreadHideFromDebugger push -2 call NtSetInformationThread ;thread detached if debugged ;... 2008-3-3 15:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复