[求助]OD有没有停止调试的选项？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2 楼。。。各位大哥，有没有都说一声啊，小弟找半天都找不到在哪里，没有的话我就不找了。。。 2008-7-17 09:23 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼是不是　ALT +F2 2008-7-17 12:38 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 4 楼不是ALT+F2，那会把进程结束掉的。。。我是希望把OD和被调试进程分离开，OD关掉，原调试进程还在。比如VS2003及以上版本都有这个功能。。。 2008-7-17 13:00 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 5 楼没看到过OD这个功能 2008-7-17 13:01 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 6 楼似乎见过这样的一个插件不过你带着OD跑就是了，有什么关系吗？ 2008-7-17 15:11 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼请问那个插件在哪里找到的？ 2008-7-17 16:48 0
zdcoyr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	zdcoyr 8 楼有，F12可以强行暂停。 2008-7-19 18:46 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 9 楼老兄，看帖仔细点。。。人家问的是在od里运行后关掉OD然后让程序接着跑而不退出！ 2008-7-19 20:46 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 10 楼没这功能还真是折磨死我了。有个Exe只要开着OD就会被它检测出来，隐藏插件不起作用。目前我需要带壳调试，修改了代码后，如果F9，就会被检测出来。后来发现用VS2003的分离功能，可以躲过检测，因此只好用OD改完内存代码，记下二进制数据，再重新用VS2003打开改内存后分离运行…… 2008-7-19 23:23 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 11 楼不知楼主是否用过“与调试程序分离”这个功能？ 2008-7-19 23:43 0
yagumo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	yagumo 12 楼 ls的，od的这个功能在哪点出来呀 2008-7-20 00:12 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 13 楼找出他在那里检验的不然把壳脱掉看看 2008-7-20 00:16 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 14 楼对阿，请问这个功能在哪里点？找不到…… 壳是可以脱掉，原先的Exe被加载的时候有一个250000-251000的Commit区段和251000-260000的Free区段，但是加着壳的Exe运行到OEP的时候，这个区段不翼而飞，后面的区段还会顺移跟上占据了250000的位置！？但是脱壳后的Exe在入口处，这个区段却还在，不知是不是这个原因，运行一下就会出错！不知道它是怎么摘掉一个区段的，对哪个API下断点都不知道…… 2008-7-20 10:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 15 楼没处理好. 不过你可以想到这个方法倒是满鲜的. 2008-7-20 12:11 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 16 楼哇！好神奇！！没见过能否发出来大家看看？ 2008-7-20 12:13 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 17 楼用这个插件：OllyHelper.dll 2008-7-20 14:53 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 18 楼是这个啊！我用过一个插件（可能就是这个）有这个功能的，当时觉得不常用给扔了。我只记得是有这么个插件的，就死活想不起名字了。 2008-7-20 15:06 0
uvbs 雪币： 60 活跃值： (670) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 19 楼 VC和OD调试的设置断点的模式不一样~你见过VC能设置硬件断点么，正因为这种区别造成无法 DETACH 2008-7-20 16:07 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 20 楼下载了OllyHelper插件，随便哪个Exe，就算是在入口处选Detach，分离后的进程都会出错，而且出错地址就是分离时的地址。不知道是不是OD断下时修改了这个位置的数据，不过从LordPE dump出来的文件分析来看，并没有被修改过的样子。 LS两位用过这个功能么？你们用起来正常的？ 2008-7-20 17:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 2 楼。。。各位大哥，有没有都说一声啊，小弟找半天都找不到在哪里，没有的话我就不找了。。。 2008-7-17 09:23 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼是不是　ALT +F2 2008-7-17 12:38 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 4 楼不是ALT+F2，那会把进程结束掉的。。。我是希望把OD和被调试进程分离开，OD关掉，原调试进程还在。比如VS2003及以上版本都有这个功能。。。 2008-7-17 13:00 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 5 楼没看到过OD这个功能 2008-7-17 13:01 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 6 楼似乎见过这样的一个插件不过你带着OD跑就是了，有什么关系吗？ 2008-7-17 15:11 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 7 楼请问那个插件在哪里找到的？ 2008-7-17 16:48 0
zdcoyr 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 0 关注私信	zdcoyr 8 楼有，F12可以强行暂停。 2008-7-19 18:46 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 9 楼老兄，看帖仔细点。。。人家问的是在od里运行后关掉OD然后让程序接着跑而不退出！ 2008-7-19 20:46 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 10 楼没这功能还真是折磨死我了。有个Exe只要开着OD就会被它检测出来，隐藏插件不起作用。目前我需要带壳调试，修改了代码后，如果F9，就会被检测出来。后来发现用VS2003的分离功能，可以躲过检测，因此只好用OD改完内存代码，记下二进制数据，再重新用VS2003打开改内存后分离运行…… 2008-7-19 23:23 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 11 楼不知楼主是否用过“与调试程序分离”这个功能？ 2008-7-19 23:43 0
yagumo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	yagumo 12 楼 ls的，od的这个功能在哪点出来呀 2008-7-20 00:12 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 13 楼找出他在那里检验的不然把壳脱掉看看 2008-7-20 00:16 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 14 楼对阿，请问这个功能在哪里点？找不到…… 壳是可以脱掉，原先的Exe被加载的时候有一个250000-251000的Commit区段和251000-260000的Free区段，但是加着壳的Exe运行到OEP的时候，这个区段不翼而飞，后面的区段还会顺移跟上占据了250000的位置！？但是脱壳后的Exe在入口处，这个区段却还在，不知是不是这个原因，运行一下就会出错！不知道它是怎么摘掉一个区段的，对哪个API下断点都不知道…… 2008-7-20 10:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 15 楼没处理好. 不过你可以想到这个方法倒是满鲜的. 2008-7-20 12:11 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 16 楼哇！好神奇！！没见过能否发出来大家看看？ 2008-7-20 12:13 0
wysea 雪币： 209 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 150 粉丝 0 关注私信	wysea 17 楼用这个插件：OllyHelper.dll 2008-7-20 14:53 0
rxzcums 雪币： 427 活跃值： (65) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 1174 粉丝 0 关注私信	rxzcums 2 18 楼是这个啊！我用过一个插件（可能就是这个）有这个功能的，当时觉得不常用给扔了。我只记得是有这么个插件的，就死活想不起名字了。 2008-7-20 15:06 0
uvbs 雪币： 60 活跃值： (670) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 19 楼 VC和OD调试的设置断点的模式不一样~你见过VC能设置硬件断点么，正因为这种区别造成无法 DETACH 2008-7-20 16:07 0
wzanthony 雪币： 359 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 72 回帖 430 粉丝 0 关注私信	wzanthony 20 楼下载了OllyHelper插件，随便哪个Exe，就算是在入口处选Detach，分离后的进程都会出错，而且出错地址就是分离时的地址。不知道是不是OD断下时修改了这个位置的数据，不过从LordPE dump出来的文件分析来看，并没有被修改过的样子。 LS两位用过这个功能么？你们用起来正常的？ 2008-7-20 17:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]OD有没有停止调试的选项？ 0.00雪花