如何用OD调试一个进程创建的新进程?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 2004-11-29 09:51 2 楼 0 呵呵，我用了比较愚蠢的办法... 1.先将OD设置为系统默认的调试器 2.将新进程的代码中找一地方改为 int 3 3.运行程序，当新进程被调用并执行到修改后的 int 3 地方时,系统会提示错误,此时选择调试,就进入到OD了,然后将 int 3 改回原代码. 关键是那个修改的地方要找好，我一般是找函数或过程的入口处,将 push eax 等换成int 3,但也有经常不成功的情况，因为一旦int 3进入OD状态后，再F8程序就异常退出了，所以关键是那个修改的地方要找好... 如果SI就好办,因为可以下 bpint3 断点，在断点拦截后再把 int 3改回来好象还可以继续往前执行... 不知各位有什么好办法???
rays2004 雪币： 201 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	rays2004 2004-12-2 16:09 3 楼 0 十分感谢可我改了之后总是出现异常调试不下去各位大虾能否有更号的方法啊
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (2)
avan123456 雪币： 201 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 14 粉丝 1 关注私信	avan123456 2004-11-29 09:51 2 楼 0 呵呵，我用了比较愚蠢的办法... 1.先将OD设置为系统默认的调试器 2.将新进程的代码中找一地方改为 int 3 3.运行程序，当新进程被调用并执行到修改后的 int 3 地方时,系统会提示错误,此时选择调试,就进入到OD了,然后将 int 3 改回原代码. 关键是那个修改的地方要找好，我一般是找函数或过程的入口处,将 push eax 等换成int 3,但也有经常不成功的情况，因为一旦int 3进入OD状态后，再F8程序就异常退出了，所以关键是那个修改的地方要找好... 如果SI就好办,因为可以下 bpint3 断点，在断点拦截后再把 int 3改回来好象还可以继续往前执行... 不知各位有什么好办法???
rays2004 雪币： 201 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	rays2004 2004-12-2 16:09 3 楼 0 十分感谢可我改了之后总是出现异常调试不下去各位大虾能否有更号的方法啊
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复